A pesar de la creciente concienciación en materia de ciberseguridad con el reciente ataque de WannaCry y sus réplicas, los correos electrónicos siguen entrañando altos niveles de riesgo para las empresas. Los cibercriminales son conscientes de que en muchas ocasiones el riesgo es proporcional al botín. Sin embargo, este caso es una excepción, pudiendo conseguir un elevado botín con un mínimo riesgo. Este es el motivo por el que están perfeccionando sus técnicas fraudulentas para comprometer cuentas de correo electrónico y suplantar la identidad de los empleados, especialmente de aquellos que tienen acceso a las finanzas de la compañía. La técnica fundamental para lograr este objetivo es el denominado fraude BEC (Business Email Compromise).

BEC, una estafa muy rentable

El funcionamiento de una estafa BEC es simple: el ciberdelincuente engaña a un empleado con acceso a las finanzas (desde un office manager hasta el director financiero) para que realice una transferencia a una cuenta que cree que es de un cliente o proveedor, pero el dinero acaba en la cuenta bancaria de la organización criminal. Pero, ¿cómo son engañados? La maquinaria detrás de estos ataques es muy compleja. No son los clásicos emails de estafa que saltan a la vista (con errores de gramática y ortografía, mezcla de idiomas, historias extravagantes…) sino que emulan correos electrónicos totalmente profesionales. Para ello, los atacantes emplean técnicas como el spear-phishing, el robo de identidad, la ingeniería social o el uso de malware. Y continúan buscando técnicas avanzadas que pasen desapercibidas para cometer estas acciones fraudulentas, ya que el retorno de la inversión es enorme.

Según los últimos datos del Internet Crime Report 2016, las estafas EAC (Email Account Compromise), el equivalente a nivel personal de las BEC, y los fraudes BEC fueron el tipo de ataque con mayor impacto económico : estos fraudes supusieron más de la cuarta parte de las pérdidas registradas en 2016; 360,5 millones de dólares de un total de 1.300 millones. Y, sin embargo, no son ni de lejos el tipo de amenazas más comunes. Con poco más de 12.000 incidentes ocupan el 16º puesto entre los tipos de crimen más frecuentes. Por eso son tan populares entre las organizaciones criminales: estos ataques les reportan en torno a 30.000 dólares de media.

El fraude del CEO

Uno de los tipos de estafa BEC más extendidos es el conocido como “Fraude del CEO”. Los responsables de este ataque utilizan malware y técnicas de spear phishing para acceder a la red corporativa. Una vez dentro, examinan durante semanas los sistemas de facturas, las listas de proveedores o clientes de las empresas y las acciones que realiza el CEO (por ejemplo, cómo se expresa en sus comunicaciones por email).

Tras haber recopilado toda esta información, aprovechan el momento oportuno (por ejemplo, cuando el CEO está de viaje) para suplantar su identidad y enviar un email en el que solicitan una transferencia a una cuenta de un proveedor o cliente que parece legítima. Ante esta situación, el receptor del email (generalmente, un miembro del equipo de contabilidad) realiza la transferencia de cientos o incluso miles de euros sin sospechar nada. Una vez el dinero ha recalado en la cuenta falsa perteneciente a la organización criminal, sta suele emplear técnicas como el lavado de dinero para moverlo fácilmente sin ser detectado por las fuerzas de seguridad. Por eso, si no se detiene un ataque BEC a tiempo, recuperar el dinero transferido resulta casi imposible.

Cómo combatir las estafas BEC

El primer paso para evitar que un ataque BEC suponga pérdidas cuantiosas a la empresa pasa por no ceñirse a la comunicación por email. Ante la mínima sospecha, hablar por teléfono con el CEO o acercarse a su despacho para confirmar una transacción podrá salvaguardar los activos de la empresa.

Los responsables de seguridad también deberían confiar en soluciones de seguridad avanzadas que bloqueen el malware empleado para perpetrar los ataques BEC. Además, el proceso para realizar transacciones económicas debería incluir métodos de doble factor de autenticación. Y, sobre todo, es fundamental concienciar a los empleados de que de ellos depende en gran medida la seguridad de la empresa. Una única cuenta de email comprometida puede tener un efecto devastador. Por eso, además de desconfiar de cualquier email con peticiones urgentes de los directivos que requieran un movimiento de dinero, en caso de que sospeche de que ha habido una suplantación de identidad, el empleado debe tener claro el procedimiento para alertar sobre dicha amenaza potencial al equipo de seguridad de la empresa para que la analice en detalle.