|
Una mañana cualquiera, un empleado recibe un correo del CEO de su empresa. En dicho correo, de carácter urgente, le dice que hay que cambiar la hora y la fecha de una reunión que tenían concertada. El empleado accede, así que pincha en el enlace que le han dado para concertar el nuevo encuentro. Para definir la nueva reunión debe acceder al calendario de Outlook que manejan en la oficina. Una vez logueado, acepta la nueva fecha. Todo perfecto, hasta que alguien le informa de la tragedia: una persona ha robado su nombre de usuario y su contraseña, ha accedido a información confidencial de la empresa y ha robado todo lo que ha podido. En realidad el email era falso. No fue enviado por su CEO, sino por un ciberdelincuente que se hizo pasar por él. Y la web del calendario de Outlook en la que se logueó también era falsa; se trataba de una trampa para acceder a sus claves. En apenas cinco minutos, la ciberseguridad de toda la empresa ha quedado gravemente comprometida. Este empleado no es el único. Una estafa idéntica está afectando a varias grandes compañías, que han sufrido un ataque de ‘phishing’ para acceder a sus datos. Según GreatHorn, los ciberdelincuentes fueron detectados antes de que el daño fuese mayor, pero la estafa sigue activa. |
 |
El auge de las estafas BEC
En realidad no se trata de algo nuevo, ni mucho menos, sino de una nueva versión del llamado fraude del CEO, una estafa en la que el atacante simula ser el consejero delegado o directivo de una compañía para conseguir que sus subordinados, sin tiempo para plantearse si el correo es lícito, hagan transferencias económicas o proporcionen información confidencial de la compañía.
A su vez, el fraude del CEO es un tipo de estafa BEC (Business Email Compromise), pero no el único: la estafa del soporte técnico es otra de las muchas variedades de ciberdelincuencia en las que los atacantes simulan ser una persona con cierta autoridad para aprovecharse del eslabón más débil de la ciberseguridad empresarial: los propios empleados.
Las consecuencias de un ataque BEC
Cuando una empresa es víctima de una estafa BEC se expone a unas consecuencias demasiado graves para su presente y futuro:
1.- Robo de información. Si el ciberdelincuente consigue su propósito, accederá a información confidencial que atesora la empresa. Y esta información podría no solo afectar a la propia compañía, sino también a sus usuarios, clientes, proveedores, etc., con el consiguiente daño reputacional.
2.- Pérdidas económicas. Según el informe Internet Crime Report (IC3) del FBI, las estafas BEC superaron en 2017 los 676 millones de dólares en pérdidas causadas solo en Estados Unidos, convirtiéndose en la amenaza más lucrativa para los ciberdelincuentes.
3.- Pérdida de innovación. De manera paralela, el miedo que las organizaciones puedan tener a este tipo de estafas también acaba ralentizando la adopción de ciertas tecnologías emergentes, tanto por su parte como por parte de los usuarios. Es así como se entiende, por ejemplo, que aún exista cierta resistencia a adoptar la banca online.
Descubre Panda Adaptive Defense
Cómo evitar las estafas BEC
Poner freno a los fraudes BEC debe ser una prioridad para cualquier empresa. Por ello es imprescindible contar con soluciones de ciberseguridad que analicen lo que pasa en todo momento en las redes y dispositivos empresariales. En el caso de Panda Adaptive Defense, la solución de ciberseguridad avanzada que monitoriza de manera automática y en tiempo real todos los procesos que se estén llevando a cabo, de modo que, en caso de intrusión externa o de introducción de malware, es capaz de detectar y neutralizar la amenaza antes de que haya consecuencias. Se adelanta, por tanto, a un posible riesgo en cuanto detecta algún proceso o movimiento anómalo en la red corporativa. Es más, el servicio gestionado de Threat Hunting de Panda Adaptive Defense descubre nuevos patrones de ataque mediante la identificación automática de anomalías en el comportamiento de cada usuario, proceso y máquina.
Pero la vigilancia no solo debe residir en las herramientas tecnológicas, sino también en los propios empleados, que muchas veces acaban siendo la mejor puerta de entrada para los ciberdelincuentes, que consiguen aprovechar su escasa formación en ciberseguridad. Por ello, los empleados deben recibir la concienciación necesaria para que, en cualquier momento, sepan activar un protocolo de seguridad antes de confiar en el emisor de cualquier correo electrónico que reciban.
En cualquier caso, en ocasiones esta tarea será difícil. Por eso también es necesaria la autenticación de doble factor, de modo que, aunque el ciberdelincuente consiga ciertos datos del trabajador, no sea capaz de acceder a la información confidencial.
La prevención, en definitiva, no debe concentrarse solo en el departamento de ciberseguridad, sino que obligatoriamente tendrá que alcanzar a cualquier área de la compañía. Solo así, con todos los intereses alineados, las soluciones de ciberseguridad activadas y los protocolos establecidos, se conseguirá evitar la llegada de estafas BEC y el riesgo millonario que suponen.
Panda Security es una empresa especializada en la creación de productos de seguridad para endpoints que son parte del portfolio de soluciones de seguridad IT de WatchGuard. Centrada inicialmente en la creación de software antivirus, la compañía ha ampliado sus objetivos expandiendo su línea de negocio hacia los servicios de ciberseguridad avanzada con tecnologías para la prevención del cibercrimen.
