En los últimos meses, en los círculos de seguridad se habla mucho de dos ataques sofisticados que están haciendo estragos en las empresas: Ataques Business Email Compromise (BEC) y Email Account Compromise (EAC). Dos amenazas muy destructivas que pueden solucionarse con una mínima planificación.
Las estadísticas relacionadas con EAC y BEC son espectaculares. Las pérdidas por BEC se han disparado en los últimos años, incluso antes de la pandemia. Por ejemplo, el Informe sobre delitos en Internet del FBI muestra que, en 2019, los estafadores de BEC ganaron casi 1.800 millones de dólares. Eso es más de la mitad que las pérdidas totales reportadas por las organizaciones a través de ciberdelitos. Desde 2016 estos ataques han costado a las empresas 26.000 millones de dólares.
Las principales medidas que debemos tomar para hacer frente a estos ataques son, por un lado, implementar una estrategia de seguridad de capas y, por el otro, desarrollar un plan de concienciación en ciberseguridad para que los usuarios no corran riesgos.
¿Qué es un ataque BEC?
El Business email compromise (BEC) es un tipo de ataque phishing donde los ciberdelincuentes intentan engañar a un ejecutivo sénior o responsable financiero para transferir fondos o revelar información confidencial.
Los criminales detrás de BEC envían correos electrónicos de aspecto convincente que podrían solicitar pagos inusuales o contener enlaces a sitios web “dudosos”. Algunos correos electrónicos puede contener virus disfrazados de archivos adjuntos inofensivos, que solo se activan cuando se abren.
A diferencia de los correos electrónicos de phishing estándar, que son enviados indiscriminadamente a millones de personas, los ataques BEC están diseñados para apelar a individuos específicos, y pueden ser aún más difícil de detectar.
BEC es una amenaza para todas las entidades de todos los tamaños y en todos los sectores, incluidas las organizaciones sin fines de lucro y las instituciones públicas.
¿Qué es un ataque EAC?
Los ataques Email Account Compromise (EAC) van un paso más allá y, en lugar de suplantar una cuenta de correo electrónico, la secuestran para robar las credenciales.
Los atacantes utilizan varias tácticas, como la pulverización de contraseñas, el phishing y el malware, para comprometer las cuentas de correo electrónico de las víctimas y obtener acceso a buzones de correo legítimos.
EAC también conduce al fraude por correo electrónico, donde el atacante utiliza la ingeniería social para engañar o amenazar al objetivo para que realice un pago financiero fraudulento. En el caso de EAC, casi siempre hay dos víctimas: la persona cuya cuenta de correo electrónico se vio comprometida y la otra persona que cae en la solicitud fraudulenta de la cuenta de correo electrónico comprometida.
Ambos ataques se pueden prevenir con una estrategia de seguridad por capas, pero, al basarse en Ingeniería Social, en muchas ocasiones eluden las soluciones de seguridad y estas se vuelven insuficientes. Por eso, ante estos casos, se recomienda también utilizar una seguridad basada en las personas como un plan de concienciación en ciberseguridad.
Con dicho plan, el personal de la empresa será consciente de los riesgos que corre la misma si no vigila a la hora de revisar el correo electrónico. También conocerá las estrategias que están utilizando los atacantes para lograr que los trabajadores caigan en sus redes y podrá someterse a simulaciones realistas para evitar mejor uno de estos ataques, entre otros aspectos.
¿Estás interesado en implementar un plan de concienciación en ciberseguridad en tu empresa? En Cargilar, como expertos en ciberseguridad, contamos con consultores especializados que pueden asesorarte en la mejor forma para aplicar uno en tu organización.
