Menos conocidos que el ransomware o los ataques de phishing, los ataques BEC son una de las ciberamenazas más serias que enfrentan las empresas. En este artículo explicaremos qué es un ataque BEC, cómo funcionan y cómo protegernos de ellos.
En este artículo hablamos de:
¿Qué es un ataque BEC?
Un ataque BEC, cuyas siglas equivalen a business email compromise (compromiso del email corporativo) es un ciberataque que, como su propio nombre indica, consiste en usar un correo electrónico que parece legítimo para conseguir dinero o información confidencial del destinatario.
No se trata de comprometer una cuenta de correo electrónico, ganando acceso y control a la misma (aunque parte del objetivo final del ataque BEC pueda ser ese, precisamente), sino de utilizar una cuenta de correo electrónico lo suficientemente parecida a una legítima, para engañar al destinatario y conseguir que realice la acción que se le está pidiendo, sea enviar dinero a una cuenta bancaria de los atacantes o información confidencial.
Como decíamos, el ataque BEC es menos conocido que otros tipos de ciberamenazas, puesto que se trata de un ataque dirigido a una víctima en concreto y no un ataque masivo, como sí lo son las campañas de phishing o ransomware, que suelen tener más trascendencia en medios de comunicación. Además, es bastante habitual que las empresas que han sido víctimas de un ataque BEC no lo hagan público, puesto que más allá de la pérdida económica que puede suponer, también conlleva una pérdida de reputación para la empresa.
En cualquier caso, los ataques BEC en informática vienen creciendo desde 2017 y se han convertido en una de las ciberamenazas importantes sobre las que las empresas deben tener cuidado y formar a sus empleados para no caer en ellos.
Objetivos de los ataques BEC
El objetivo principal de los cibercriminales que llevan a cabo un ataque BEC es conseguir robar dinero de la compañía que han marcado como objetivo. Por lo que habitualmente, los correos empleados para llevar a cabo al ataque están relacionados con transferencias de dinero a cuentas bancarias, que deben hacerse con urgencia y discreción, de manera que las víctimas suelen ser empleados con capacidad y permisos para realizar dichas operaciones.
Aunque menos habitual, los ataques BEC también se emplean para robar información confidencial de la empresa, bien para filtrarla o venderla al mejor postor o bien para extorsionar a la compañía a cambio de dinero para no hacerla pública.
Y en bastantes ocasiones, también se recurre al ataque BEC para conseguir el control de una cuenta de correo de la compañía, es decir, comprometer dicha cuenta de correo a través de técnicas de spear phishing para conseguir las credenciales del empleado. Con el control de la cuenta, los cibercriminales pueden obtener una amplia variedad de información que les puede servir para llevar a cabo otros ciberdelitos.
¿Cómo funciona un ataque BEC?
Aunque las técnicas empleadas varían, como veremos en el siguiente punto, los ataques BEC consisten en emplear técnicas de ingeniería social (a veces combinadas con un ataque de spear phishing) para ganarse la confianza del empleado al que se intenta engañar para que lleve a cabo la acción deseada por el ciberdelincuente, que, en la mayoría de los casos, será conseguir que haga una transferencia de dinero a una cuenta controlada por él.
En este caso, los correos intercambiados con la víctima no contendrán ni enlaces ni archivos para descargar contenido malicioso, puesto que lo que se pretende (cuando el objetivo no es comprometer la cuenta de correo) es hacer que la víctima crea que el email es completamente legítimo y que proviene del remitente por el que el ciberdelincuente se está haciendo pasar.
En los ataques BEC más habituales, los ciberdelincuentes envían correos que aparentemente proceden de un contacto de confianza o habitual de la empresa, como puede ser un proveedor o un miembro de la propia compañía, normalmente, un cargo superior a la víctima, como gerentes, directores financieros o el director general, empleando así el denominado fraude del CEO. Además, estos correos siempre tienen un carácter urgente, para evitar que la víctima trate de confirmar el contenido o la orden dada en el email.
Normalmente, los contenidos más usados en ataques BEC son:
- Hacerse pasar por un proveedor y pedir que se cambie la información de pago, la cuenta bancaria a la que se debe pagar una factura pendiente, por otra.
- Hacerse pasar por un superior y pedir que se haga una transferencia a una cuenta porque necesita el dinero para cerrar alguna gestión o hacer una transferencia para un pago que pudiera estar pendiente.
- Hacerse pasar por un abogado que necesita que se le envíe información confidencial o una transferencia de fondos para realizar un trámite urgente.
Técnicas empleadas en ataques BEC
Las técnicas empleadas de forma más habitual en los ataques BEC, en combinación con ingeniería social, son las siguientes:
- Simular el correo real del remitente, editando los encabezados del email, de manera que su dirección de correo real no aparezca, sino que lo haga como si fuera la del remitente por el que se está haciendo pasar.
- Utilizar un dominio muy similar (prácticamente idéntico) al dominio de la compañía que supuestamente está enviando el email a la víctima. Cuanto más parecido sea el dominio, más probabilidades habrá de que la víctima pique, puesto que la variación puede ser solo de una letra.
- Comprometer una cuenta de correo corporativa, teniendo acceso desde de ella la lista de contactos y los emails tanto de la bandeja de salida como de la entrada, lo que no solo supone tener acceso a una enorme cantidad de información del empleado y la empresa, sino también poder usar la cuenta para llevar a cabo otros ataques utilizando la lista de contactos.
- Explotación de vulnerabilidades de los servidores de correo electrónico.
Cómo protegerse de los ataques BEC
Puesto que los ataques BEC están basados en técnicas de ingeniería social en combinación con técnicas basadas en phishing, pueden llegar a vulnerar la seguridad perimetral de la compañía o no ser detectados por otras soluciones de seguridad (especialmente si el ataque llega a través de una dirección de email comprometida), sobre todo si la víctima no se para comprobar detenidamente la dirección del remitente y lleva a cabo la acción requerida sin recurrir a ningún otro tipo de confirmación.
Por lo tanto, la mejor medida de seguridad contra los ataques BEC pasa por la concienciación y formación de los empleados para que aprendan a detectar este tipo de emails comprometidos y no lleven a cabo las acciones que demandan sin antes hacer las comprobaciones pertinentes.
Así, ante el supuesto correo electrónico de un superior jerárquico, de un proveedor o de un abogado que nos pide hacer una transferencia urgente, enviar cierta documentación o cambiar un número de cuenta para el pago de la siguiente factura que está a punto de vencer, deberemos comprobar la dirección del remitente con detenimiento y, en caso de duda o como medida de seguridad adicional, contactar con él y solicitar una confirmación, preferiblemente a través de una llamada telefónica o vía mensaje de texto a su móvil, y no respondiendo al mismo email.
Por otro lado, para evitar el compromiso de cuentas de correo electrónico de la compañía, se debe activar la verificación en dos pasos, para hacer más difícil que los ciberdelincuentes puedan hacerse con el control de las mismas al conseguir una de las contraseñas.
Finalmente, recomendar a nuestros empleados que no compartan información sobre la empresa o sus responsabilidades y tareas en redes sociales, de manera que sea un poco más difícil que puedan ser víctimas de ataques de ingeniería social basados en esa información.
Ataques BEC y ataques EAC ¿son lo mismo?
Es habitual confundir los ataques BEC y los ataques EAC (email account compromise, compromiso de la cuenta de email), porque ambos están relacionados con el correo electrónico, pero no son exactamente lo mismo, aunque un ataque BEC puede conducir a un ataque EAC, tal y como hemos descrito en este artículo.
Mientras que el ataque BEC consiste en enviar correos simulando otras cuentas legítimas, no implica, en principio, el control sobre la cuenta de email que se simula o suplanta, algo que el ataque EAC sí implica, puesto que este ataque, más sofisticado que el BEC, busca hacerse con el control completo de la cuenta de correo y acceder a toda la información que esta posee, incluidas firmas y configuraciones, incluso desviando correos a direcciones controladas por los cibercriminales.