Mimecast Logo
Obtenga una cotización
    Ciberresiliencia
    Todos los temas
    Email and Collaboration Threat Protection
    Insider Risk Management
    Security Awareness Training
    Data Compliance and Governance
    Threat Intelligence
    Email Collaboration Threat Protection

    Compromiso del correo electrónico empresarial frente al phishing

    Ambas son formas de ciberataque, pero difieren en los métodos, las metas y los objetivos

    by David Hood

    Key Points

    • El compromiso del correo electrónico empresarial (BEC) y el phishing están afectando a organizaciones de todos los tamaños y de todos los sectores en todo el mundo.
    • Las organizaciones deben comprender la diferencia entre estos dos tipos de ataques, así como la forma en que encajan en su propia estrategia de ciberseguridad.
    • El BEC y el phishing pueden detenerse si las organizaciones se toman el tiempo necesario para formar a sus empleados, encontrar las soluciones adecuadas y permanecer vigilantes en la protección de sus sistemas.

    El mundo de la ciberseguridad está plagado de términos que parecen solaparse, lo que puede causar confusión cuando los usuarios intentan aprender más sobre el tema.

    Por ejemplo, todo el ransomware se considera malware, pero no todo el malware es ransomware, y aunque todos los virus caen bajo el paraguas del malware, no todo el malware es un virus. Para empeorar las cosas, a veces las organizaciones utilizan los términos indistintamente cuando en realidad no deberían hacerlo.

    Otro ejemplo de términos que pueden resultar confusos cuando se comparan entre sí es el compromiso del correo electrónico empresarial, también conocido como BEC, y el phishing. Ambas son formas de ciberataque, pero difieren en sus métodos, blancos y objetivos.

    Compromiso del correo electrónico empresarial

    Los BEC suelen tener como objetivo empresas, ejecutivos o empleados con acceso a información financiera o sensible. Organizaciones de todo tipo, de todas las industrias y de todos los tamaños pueden ser objetivo de BEC. Algunos grupos de ciberdelincuentes tienen como objetivo organizaciones muy específicas, y otros atacarán prácticamente cualquiera en la que puedan hacerse un hueco.

    En un ataque BEC, los atacantes suelen hacerse pasar por una persona de confianza, como un director general, un proveedor o un socio, comprometiendo o suplantando la cuenta de correo electrónico de esa persona u organización. Los atacantes utilizan esa cuenta en la que generalmente confía el destinatario para enviar correos electrónicos muy selectivos y convincentes con el fin de manipularlo para que realice acciones específicas, como transferir fondos o compartir datos confidenciales.

    El objetivo de este tipo de ataques BEC es el beneficio económico o el robo de información empresarial confidencial. Los atacantes pueden tener éxito haciendo que un empleado desprevenido transfiera dinero directamente a su cuenta, o pueden vender la información que obtienen durante el ataque en la web oscura.

    Los ataques BEC suelen ser más sofisticados y personalizados, y se basan en la ingeniería social más que en enlaces o archivos adjuntos maliciosos.

    Es importante señalar que en los ataques BEC tradicionales, el enfoque del correo electrónico directo burla a los ejecutivos, explota las jerarquías organizativas y utiliza demandas urgentes de pagos y transferencias financieras. A veces, los ciberdelincuentes van incluso más allá, desarrollando elaborados engaños que implican largos y complejos hilos de respuesta que se colocan en sus correos electrónicos maliciosos con los nombres correctos de los ejecutivos, e incluso su tono, para hacer sus correos aún más convincentes.

    Phishing

    El phishing puede dirigirse prácticamente a cualquier persona, ya sean particulares, empleados o empresas. El phishing es sin duda un enfoque más amplio en el que se envían miles de correos electrónicos a miles de direcciones de correo electrónico sin tener realmente en cuenta quiénes son los destinatarios en la mayoría de los casos. Definitivamente, el phishing es más un juego de números: cuantos más correos electrónicos de phishing se envíen, mayores serán las posibilidades de que alguien que reciba el correo electrónico haga clic en los enlaces o archivos adjuntos maliciosos que contiene.

    Los atacantes siguen intentando que estos correos electrónicos o mensajes masivos parezcan proceder de fuentes legítimas, como un banco o un proveedor de servicios en línea, con el fin de engañar a los destinatarios para que hagan clic en enlaces maliciosos, descarguen malware o faciliten información confidencial como contraseñas o datos de tarjetas de crédito.

    El objetivo del phishing es robar credenciales, propagar malware o cometer fraudes financieros. Los atacantes pueden utilizar las credenciales para intentar transferir dinero de las cuentas o utilizar el acceso para robar información que pueda venderse. A veces, los ataques de phishing contienen ransomware diseñado para bloquear los sistemas críticos de la empresa o incluso un portátil personal hasta que la víctima pague un rescate para desbloquear su dispositivo o servidores.

    Los ataques de phishing suelen ser menos selectivos y menos sofisticados, y se basan en el volumen, con la esperanza de engañar al mayor número de personas posible.

    Diferencias clave

    Lo más notable es que el alcance de estos dos ataques es bastante diferente. El BEC es altamente selectivo y específico, mientras que el phishing es más amplio y generalizado. En cuanto a las tácticas, el BEC se basa en la suplantación de identidad y la ingeniería social, mientras que el phishing suele utilizar enlaces o archivos adjuntos maliciosos. Los BEC se dirigen generalmente a empresas y personas de alto valor, mientras que el phishing puede dirigirse a cualquiera. En resumen, el BEC es una forma de ataque más centrada y estratégica, mientras que el phishing tiende una red más amplia para explotar al mayor número posible de víctimas.

    Conocer la diferencia

    Es importante que las organizaciones conozcan la diferencia entre estos dos tipos de ataques porque, aunque puede haber cierto solapamiento en las soluciones que se pueden utilizar para combatir el BEC y el phishing, saber si su organización está siendo objetivo del BEC por parte de un grupo de ciberdelincuentes, o simplemente está siendo objeto de phishing, le permite desplegar sus recursos de seguridad en consecuencia. Los correos electrónicos de phishing pueden aparecer simplemente en las bandejas de entrada, pero los ataques BEC suelen utilizar también más de un método de ataque. Naturalmente, los ataques BEC pueden comenzar con correos electrónicos maliciosos, pero también pueden progresar hacia llamadas telefónicas fraudulentas, mensajes de voz, mensajes instantáneos y otras formas de ingeniería social.

    Combatir los ataques de phishing

    Combatir eficazmente los ataques de phishing requiere una combinación de concienciación, tecnología y buenas prácticas por parte de cada usuario, ya se encuentre en una oficina, trabajando en sistemas internos seguros, en casa utilizando su portátil personal o en algún punto intermedio como el trabajo a distancia. He aquí algunas de las mejores formas de protegerse a sí mismo y a su organización de los ataques de phishing:

    • Eduque y forme a los usuarios: Lleve a cabo sesiones de formación periódicas para ayudar a los empleados y usuarios a reconocer los intentos de phishing. Enséñeles a identificar correos electrónicos, enlaces y archivos adjuntos sospechosos. Fomente el escepticismo ante las solicitudes no solicitadas de información sensible.
    • Verifique antes de hacer clic: Verifique siempre la dirección de correo electrónico y el dominio del remitente. Pase el ratón por encima de los enlaces para comprobar su destino antes de hacer clic. Evite hacer clic en enlaces o descargar archivos adjuntos de fuentes desconocidas o no fiables.
    • Utilice la autenticación multifactor (MFA): Active MFA para todas las cuentas para añadir una capa adicional de seguridad. Incluso si las credenciales se ven comprometidas, la AMF puede impedir el acceso no autorizado.
    • Implemente herramientas de seguridad del correo electrónico: Utilice filtros antispam y soluciones de seguridad del correo electrónico para bloquear los mensajes de phishing. Habilite la autenticación, notificación y conformidad de mensajes basada en dominios (DMARC) para evitar la suplantación del correo electrónico.
    • Mantenga actualizado el software: Actualice regularmente los sistemas operativos, los navegadores y el software antivirus para parchear las vulnerabilidades. Utilice herramientas antivirus y antimalware de confianza para detectar y bloquear las amenazas.
    • Fomente la denuncia: Cree un proceso sencillo para que los empleados o usuarios informen de los intentos de phishing. Actúe con rapidez para investigar y mitigar las amenazas notificadas.
    • Supervise y pruebe: Realice campañas de phishing simuladas para probar y mejorar la concienciación de los usuarios. Supervise la actividad de la red en busca de comportamientos inusuales que puedan indicar un ataque de phishing.
    • Asegure la información sensible: Limite el acceso a los datos sensibles sólo a quienes los necesiten. Utilice la encriptación para proteger los datos en tránsito y en reposo.
    • Sea precavido con las Wi-Fi públicas: Evite acceder a cuentas sensibles o introducir credenciales en redes Wi-Fi públicas. Utilice una Red Privada Virtual (VPN) para conexiones seguras.
    • Manténgase informado: Manténgase al día de las últimas tácticas y tendencias de phishing. Comparta actualizaciones y alertas sobre nuevas estafas de phishing con su equipo o comunidad.

    Combinando estas estrategias, puede reducir significativamente el riesgo de ser víctima de ataques de phishing.

    Combatir el compromiso del correo electrónico empresarial

    Para combatir eficazmente las BEC, las organizaciones deben adoptar un enfoque de varios niveles que combine medidas técnicas, formación de los empleados y procesos sólidos. He aquí algunas estrategias clave:

    • Formación de los empleados: Eduque regularmente a los empleados sobre las tácticas de phishing y BEC. Enséñeles a verificar la información del remitente y a reconocer las señales de alarma, como las solicitudes financieras urgentes.
    • Protocolos de autenticación del correo electrónico: Implemente protocolos como DMARC, SPF y DKIM para evitar la suplantación del correo electrónico y garantizar su autenticidad.
    • Autenticación multifactor (MFA): Imponga la MFA en todas las cuentas de correo electrónico para añadir una capa adicional de seguridad, incluso si las contraseñas se ven comprometidas.
    • Procesos de verificación: Establezca procedimientos estrictos para verificar las transacciones financieras, como llamadas de confirmación de las solicitudes de pago utilizando datos de contacto conocidos.
    • Actualizaciones de software: Mantenga actualizados todos los sistemas, incluidos los servidores de correo electrónico y el software antivirus, para protegerse de las vulnerabilidades.
    • Plan de respuesta a incidentes: Desarrolle y actualice periódicamente un plan para gestionar los incidentes BEC, que incluya el aislamiento de los sistemas y la notificación a las autoridades.
    • Cifrado de correo electrónico: Utilice la encriptación para asegurar el contenido del correo electrónico, haciéndolo ilegible para las partes no autorizadas.
    • Controles financieros: Implemente la verificación en dos pasos para las transacciones sensibles con el fin de minimizar los riesgos.
    • Supervisión y auditorías: Realice auditorías de seguridad periódicas y supervise los sistemas de correo electrónico en busca de actividades inusuales.
    • Protección de dominios: Utilice herramientas para supervisar y proteger su dominio de los ataques de suplantación de identidad y de semejanza.

    Fomentando una cultura de concienciación sobre la ciberseguridad y aplicando estas medidas, las empresas pueden reducir significativamente el riesgo de ser víctimas de BEC.

    Lo esencial

    Aunque algunas soluciones disponibles pueden ayudar a las organizaciones con ambos tipos de ataques, y algunos de los pasos necesarios para combatirlos son muy similares, es importante recordar que el compromiso del correo electrónico empresarial y el phishing son dos tipos de ataques distintos. Las organizaciones deben prepararse para ambas cosas. Mimecast está preparada para ayudar a los clientes con soluciones personalizadas orientadas a protegerles tanto contra el compromiso del correo electrónico empresarial como contra el phishing

     

    31BLOG_1.jpg
    Up Next
    Email Collaboration Threat Protection |
    El coste oculto de una mala configuración DMARC: Correos electrónicos perdidos e ingresos desaprovechados

    Related Articles

    Email Collaboration Threat Protection
    Investigación de conductas indebidas en Slack y Microsoft Teams: Qué hacer, qué no hacer y consideraciones de privacidad
    Email Collaboration Threat Protection
    Australia Under Siege: The Alarming Scale of Government Impersonation Scams
    Email Collaboration Threat Protection
    Por qué Mimecast lidera la lucha contra el fraude por correo electrónico en 2024

    Suscríbase a Cyber Resilience Insights para leer más artículos como éste

    Reciba las últimas noticias y análisis del sector de la ciberseguridad directamente en su bandeja de entrada

    Inscríbase con éxito

    Gracias por inscribirse para recibir actualizaciones de nuestro blog

    ¡Estaremos en contacto!

    Back to Top