Business Email Compromise: Qué es y como evitarlo

El Business Email Compromise (BEC) es una forma dañina de ciberdelincuencia con potencial para costar a las empresas grandes sumas de dinero. Incluso los más astutos pueden ser víctimas de uno de estos sofisticados engaños.

Matt Lundy es Consejero General Adjunto en Microsoft y es el responsable de liderar los planes para prevenir estos delitos. Aquí explica cómo funcionan y cómo pueden ser evitados.

¿Qué es el Business Email Compromise?

Es un ciberataque que está diseñado para obtener acceso a información comercial crítica o extraer dinero a través de una estafa por correo electrónico.

Los ciberdelincuentes envían correos electrónicos que parecen proceder de un miembro de la red de confianza, alguien que ocupa un puesto importante en el trabajo, como un gerente, el director financiero o el director general, un socio comercial o alguien de confianza. Estos correos electrónicos son utilizados con el fin de intentar persuadir a la víctima para que revele información comercial o financiera crítica, o para que procese una solicitud de pago que de otra manera nunca se hubiera hecho.

En muchos casos, este ataque también puede ser llevado a cabo para intentar comprometer una cuenta de correo electrónico a través de un email de phishing de credenciales. Una vez que la cuenta está comprometida, los delincuentes utilizan el acceso ilegal para obtener información sobre contactos de confianza, extraer información confidencial, intentar redirigir los pagos por transferencia electrónica o utilizar la cuenta para apoyar o facilitar más ciberdelitos.

¿Por qué es un tema tan preocupante?

Hemos observado un aumento en la frecuencia, complejidad y cantidad de pérdidas asociadas a este delito.

El informe sobre cibercrimen del FBI de 2019 indica que las pérdidas por los ataques de Business Email Compromise son de aproximadamente 1.700 millones de dólares, lo que representa casi la mitad de todas las pérdidas debidas a los cibercrímenes.

[Para más información: Microsoft takes legal action against COVID-19-related cybercrime]

A medida que aumenta el volumen de negocios en Internet, los ciberdelincuentes cuentan con más oportunidades para atacar a las personas a través del BEC y otros ciberdelitos. Su objetivo es comprometer las cuentas para robar dinero u otra información valiosa. A medida que los individuos se percatan de los engaños existentes y ya no son tan efectivos, las tácticas y técnicas utilizadas por los ciberdelincuentes evolucionan.

Se trata de un adversario que busca constantemente nuevas formas de atacar. Hemos superado los días en que los ataques de phishing se hacían en masa y de forma indiscriminada. Estos actores realizan una importante investigación y reconocimiento previo. A menudo se dirigen específicamente a los directivos de las empresas y a otros ejecutivos de manera que muestran un nivel de sofisticación y diligencia que va mucho más allá de lo que se observaba inicialmente en los primeros ataques.

Los ciberdelincuentes también cambian sus estrategias de ingeniería social para reflejar los acontecimientos actuales.

A modo de ejemplo, hemos encontrado señuelos de phishing diseñados específicamente a raíz de la pandemia de COVID-19 con un correo electrónico que incluía supuesta información sobre un bono Covid diseñado específicamente para animar a los individuos a hacer clic en el enlace malicioso.

¿Cómo podemos reconocerlo?

La primera cosa que se recomienda mirar es la urgencia de la solicitud en el correo electrónico.

Muy a menudo, las campañas de phishing tendrán un carácter urgente incorporado a la solicitud y prometen consecuencias nefastas si no se actúa con prontitud- algo así como “confirme sus credenciales o su cuenta será desactivada”.

Conviene también fijarse en si es una solicitud atípica para el remitente ¿Es pedir información personal o confidencial una petición que normalmente no se recibe? ¿Se está pidiendo cambiar la cuenta utilizada para recibir pagos por transferencia? Cualquiera de estas solicitudes atípicas debería ser marcada con bandera roja para el destinatario.

[Para más información: Protecting healthcare and human rights organizations from cyberattacks]

Una de las mejores medidas que pueden tomar los individuos para evitar que se comprometa una cuenta es confirmar que el supuesto remitente del correo electrónico sospechoso realmente envió la comunicación. Puede hacerlo llamando para confirmar la solicitud incluida en correo electrónico. Es muy importante tener una confirmación real antes de cambiar la cuenta en la que se está transfiriendo el dinero o antes de proporcionar las credenciales de acceso. Usar una forma alternativa de comunicación – el teléfono, o algún otro medio – que esté diseñada para llegar a la persona legítima.

Siempre es peligroso buscar la confirmación por correo electrónico, porque puede que, sin percatarnos, la comunicación sea directamente con el delincuente.

¿Qué se puede hacer en caso de que haya sido comprometido?

La habilitación de la verificación en dos pasos es una medida importante para proteger las cuentas antes de que llegue un correo electrónico sospechoso.

Si se ha recibido un correo electrónico suplantando una identidad y se encuentra en la plataforma de Microsoft, se puede informar de ello a través de Office365. Es importante informar a Microsoft sobre los correos electrónicos y links sospechosos. Microsoft identifica y proporciona niveles adicionales de protección técnica para los clientes.

En caso de verse comprometido, es importante revisar las reglas de reenvío para determinar si hay correo saliente hacia una cuenta desconocida. Si es así, es importante deshabilitar esas reglas de reenvío y cambiar la contraseña.

Es importante también informar al administrador de la cuenta de Office365 en caso de tenerlo.

En caso de haber sido víctima de un compromiso de cuenta de correo electrónico o de algún delito conexo y ello ha supuesto una pérdida real de datos o de dinero, es importante que se informe a las Autoridades pertinentes para que se pueda investigar el caso e intentar recuperar la suma perdida.

¿Qué se está haciendo para proteger a los clientes de Microsoft y frenar a los cibercriminales?

Hay numerosos recursos disponibles y animamos a que las personas revisen y comprendan las mejores formas de protegerse a sí mismos y a sus recursos y cuentas online. Los individuos son la primera línea de defensa en la protección de credenciales y de los datos personales.

[Para más información: Staying safe and smart in the internet-of-things era]

Microsoft ha implementado una gran variedad de defensas técnicas incorporadas en nuestros productos y servicios y seguiremos haciéndolo a medida que aprendamos más sobre los delitos y estratagemas de los ciberdelincuentes.

Esto incluye detener los correos electrónicos de phishing antes de que lleguen a la bandeja de entrada del destinatario y desactivar los enlaces maliciosos. También se incluyen navegadores SmartScreen que proporcionan advertencias sobre sitios web maliciosos. Estos esfuerzos son continuos, y nuestros equipos de seguridad evolucionan continuamente para adaptarse a las amenazas emergentes.

Finalmente, la Digital Crimes Unit analiza las opciones legales y judiciales para hacer frente a los ciberdelitos. La DCU es un equipo internacional de expertos técnicos, legales y de negocio que utilizan técnicas creativas y la tecnología de Microsoft para derribar la infraestructura criminal y perseguir a los ciberdelincuentes o a los atacantes a Estados con fines económicos. Investigan las redes criminales online y denuncian ante las autoridades pertinentes en todo el mundo. También emprenden acciones civiles que buscan interrumpir y desmantelar la infraestructura utilizada por los ciberdelincuentes para atacar a nuestros clientes.

Lo anterior funciona conjuntamente para proteger a nuestros clientes. A medida que los ciberdelincuentes evolucionan, adaptamos nuestras acciones legales, nuestras técnicas y nuestra capacidad para proporcionar una protección efectiva a nuestros clientes.

Para una protección reforzada contra las campañas de phishing, incluyendo el Business Email Compromise, Microsoft recomienda:

• Utilizar la verificación en dos pasos en todas sus cuentas personales y corporativas.
• Aprender como protegerse de los intentos de phishing and protect yourself from them.
• Usar el SmartScreen para identificar páginas web sospechosas.
• Considerar la posibilidad de detener el reenvío automático del correo electrónico para dificultar a los ciberdelincuentes el robo de información.

Las empresas también pueden adoptar las siguientes medidas para asegurar sus datos y considerar soluciones como Office ATP para una protección contra el phishing y el Business Email compromise.