¿Qué es el acceso no autorizado a los sistemas de correo electrónico de la empresa?
Los ataques que comprometen el correo electrónico de las empresas son estafas de suplantación de identidad. Los piratas informáticos crean correos electrónicos haciéndose pasar por un alto ejecutivo de la empresa o uno de sus socios comerciales para robar dinero. A veces, implica el compromiso de una cuenta de correo electrónico empresarial legítima, pero más a menudo, se logra a través de la ingeniería social.
Por ejemplo, un pirata informático puede hacerse pasar de forma convincente por un director general en un correo electrónico. Le dirán a un empleado de contabilidad que gire dinero a un proveedor. Sin embargo, en realidad es a una cuenta bancaria controlada por el pirata informático. En otro tipo de ataque BEC, los piratas informáticos interceptan correos electrónicos de proveedores y luego sustituyen los números de cuenta del proveedor por los suyos propios.
¿Cómo funciona el compromiso del correo electrónico empresarial?
El compromiso del correo electrónico empresarial es un exploit a través del cual los atacantes obtienen acceso a una cuenta de correo electrónico empresarial. Su principal objetivo es utilizar esa cuenta y hacerse pasar por su propietario. Esto suele hacerse para defraudar a la empresa, a sus empleados, clientes y/o socios. El atacante envía un correo electrónico diseñado para engañar al destinatario para que le envíe dinero u otros recursos o para que divulgue información confidencial.
Ejemplos de compromiso del correo electrónico empresarial
Los ataques BEC adoptan muchas formas, limitadas únicamente por la creatividad y el ingenio de los delincuentes. Algunos de los ataques BEC más comunes incluyen:
Correos electrónicos falsos a profesionales de RR.HH. solicitando que se cambie la información de depósito directo de un empleado a una cuenta controlada por un delincuente.
Solicitudes de formularios de información personal identificable como:
- el número de la seguridad social de un empleado
- ID del empleado
- lugar o fecha de nacimiento
- número de cuenta de tarjeta de crédito o número de pasaporte
Esta información que posteriormente puede utilizarse para suplantar a las personas, acceder a sus recursos o establecer cuentas de crédito en su nombre.
Los 6 tipos más comunes de compromiso del correo electrónico empresarial
La primera y más familiar forma de BEC se conoce como fraude CEO. El correo electrónico de un dirigente empresarial es pirateado o suplantado y se envían correos fraudulentos en su nombre. Los correos electrónicos darán instrucciones a los subordinados para que transfieran inmediatamente los pagos a lugares fraudulentos.
Acostumbrados a seguir las instrucciones de los altos dirigentes sin cuestionarlas, los subordinados suelen hacerlo sin confirmar de forma independiente la legitimidad de la operación. Aunque se denominan fraudes contra directores generales, estos ataques BEC se han realizado a menudo en nombre de un alto ejecutivo financiero, como un director financiero.
Desde entonces, el BEC se ha transformado en múltiples variantes, incluidas estas seis:
Fraude al director general
El fraude del director general es un ataque de phishing dirigido por correo electrónico. Es cuando un atacante se hace pasar por el director general de una empresa con el fin de engañar a los empleados para que transfieran dinero a una cuenta bancaria propiedad del atacante. Este método también puede utilizarse para engañar a los empleados para que divulguen información empresarial o personal al atacante.
Fraude al director financiero
Al igual que el fraude del director general, el fraude del director financiero se compone del mismo tipo de ataque. En este caso, el malhechor se hace pasar por el director financiero de la empresa. Esto suele ampliar el tipo de transacción financiera que el atacante puede solicitar. También puede aumentar la verosimilitud de la solicitud financiera, ya que parece proceder del director financiero.
Compromiso del correo electrónico personal (PEC)
Estos ataques son similares al fraude del CEO, pero suplantan la cuenta de correo electrónico personal de un ejecutivo. Pueden ser incluso más convincentes, ya que los destinatarios pueden haber recibido antes correos electrónicos privados del ejecutivo y suponer que la cuenta es legítima.
Cuentas de correo electrónico falsificadas de abogados o inmobiliarias
En estos ataques, un delincuente se hace pasar por una de las partes de una transacción financiera importante. A continuación, falsifican la dirección de correo electrónico de esa parte. Las transacciones suelen ser inmobiliarias, pero a veces están relacionadas con otras transacciones comerciales. Los mensajes suelen incluir detalles de transacciones obtenidos mediante ingeniería social o una intrusión informática. El delincuente puede ordenar al destinatario que modifique la información de pago anticipada previamente. Por ejemplo, actualizar el destino de una transferencia o el número de cuenta.
Solicitudes de información W-2
En lugar de pedir dinero en efectivo, el ciberdelincuente (haciéndose pasar por un empleado de alto rango) pide a un profesional de RRHH los datos del W-2 de un empleado. Con estos datos, el delincuente puede intentar presentar declaraciones de la renta fraudulentas a nombre de la víctima y apropiarse de sus reembolsos. También pueden utilizar el número de la Seguridad Social de la víctima y otros datos para llevar a cabo otras actividades fraudulentas que podrían no descubrirse hasta que el crédito de la víctima esté arruinado.
Fraude con tarjetas regalo
En esta variante del fraude al director general, un delincuente puede hacerse pasar por un ejecutivo y pedir a un asistente que compre varias tarjetas regalo que se utilizarán como recompensas para los empleados. En aras de recompensar a los empleados lo antes posible, el falso "ejecutivo" solicitará los números de serie de las tarjetas regalo. A continuación, utilizarán esos números de serie para realizar compras fraudulentas.
¿Cómo protegerse contra el compromiso del correo electrónico empresarial?
Alinear las personas, los procesos y la tecnología para prevenir el costoso fraude BEC
Según el FBI, el Business Email Compromise (BEC) es el más costoso de los delitos en Internet. Supone el 44% de los 4.100 millones de dólares en pérdidas de EE. Y la cosa empeora: la mitad de los ejecutivos de seguridad encuestados por Mimecast afirman que los ataques BEC mediante suplantación de identidad aumentaron en 2020. Con BEC, los atacantes generan un alto retorno de la inversión a partir de ataques de baja tecnología que no contienen más carga útil que un texto de ingeniería social. Los ciberdelincuentes utilizan ahora una inteligencia sofisticada para desviar pagos legítimos de nóminas o de proveedores. Para cuando se descubren estos ataques, el dinero ya ha desaparecido.
Para ser más astuto que los atacantes de BEC, combine una mejor concienciación humana con un aprendizaje automático, una detección de amenazas y una integración más sofisticados. Las completas soluciones de compromiso de correo electrónico empresarial de Mimecast pueden ayudarle.
Implemente una estrategia completa e integral para reducir el riesgo de compromiso del correo electrónico empresarial (BEC)
Aproveche el Brand Exploit Protect basado en IA y el DMARC Analyzer de Mimecast para supervisar y responder a los ataques maliciosos de suplantación de marcas en la web y a través del correo electrónico.
- Proporcione a los empleados los conocimientos y la formación que necesitan para resistirse al fraude BEC.
- Apoye a su equipo con tecnología que analiza cada correo electrónico en busca de riesgo BEC, en tiempo real.
- Detenga los correos electrónicos que se basan en la suplantación de dominios antes de que lleguen a los empleados o socios.
Analice sistemáticamente cada correo electrónico entrante para detectar el riesgo de compromiso del correo electrónico empresarial (BEC) antes de que se entregue.
La mayoría de los ataques BEC suplantan la identidad de personas u organizaciones reales: ejecutivos, colegas, socios, clientes, abogados. El fraude BEC entrante puede originarse en una cuenta comprometida o en dominios suplantados. Se basan en una larga recopilación de información para que los correos electrónicos parezcan realistas. Incluso los empleados más vigilantes necesitan tecnología que les ayude a prevenir este tipo de ataques. El Secure Email Gateway basado en la nube de Mimecast con Targeted Threat Protection los protege, independientemente de la plataforma de correo electrónico en la nube o local que se utilice.
Con el servicio Impersonation Protect de Mimecast, cada mensaje entrante se analiza en tiempo real. Explora en busca de señales de riesgo, desde la suplantación del remitente hasta caracteres internacionales o contenido del cuerpo sospechosos. Los administradores de correo electrónico tienen un control granular sobre cómo se gestionan los mensajes de riesgo. También obtienen herramientas centralizadas para gestionar, informar y descubrir ataques. Además, gracias a la incomparable biblioteca de integraciones y API abiertas de Mimecast, la información sobre amenazas puede compartirse al instante en toda su pila de seguridad. Esto permite a todos los sistemas de seguridad responder con mayor rapidez y eficacia.
Prevenir el compromiso del correo electrónico empresarial
La norma de autenticación DMARC ha madurado rápidamente hasta convertirse en un elemento clave de una estrategia de defensa en capas contra las BEC. DMARC puede ayudar a proteger a los empleados contra los ataques de phishing BEC que parecen originarse dentro de su organización pero que en realidad fueron elaborados por delincuentes lejanos. También puede ayudar a proteger a los socios comerciales contra correos electrónicos fraudulentos que parezcan proceder de su organización. De este modo, los delincuentes no podrán desviar los pagos.
Con el DMARC Analyzer basado en SaaS 100% de Mimecast, aplicar DMARC es por fin práctico. Es un valioso complemento de Mimecast Secure Email Gateway con Targeted Threat Protection. Permite a las organizaciones autenticar el correo electrónico de forma más fiable, identificar a los remitentes y bloquear la entrega de mensajes no autenticados procedentes de sus dominios. Muchos ataques BEC que se basan en la suplantación de dominios pueden detenerse ahora antes de que lleguen a los dispositivos de los empleados o de terceros asociados.
Ponga fin al compromiso del correo electrónico empresarial con Mimecast
Para prevenir los ataques BEC, los equipos de seguridad necesitan integrar múltiples métodos probados. Una solución BEC completa aprovecha las fuentes de amenazas, los protocolos de autenticación del correo electrónico y las capacidades avanzadas de detección basadas en IA. Para identificar con confianza las anomalías y cualquier correo electrónico sospechoso, la seguridad avanzada del correo electrónico de Mimecast incluye protocolos de autenticación, comprobaciones de reputación, feeds de amenazas, firmas propias e IA para detener los ataques en el punto de detección. Pero con Mimecast, la IA es algo más que una última línea de defensa. Miles de millones de señales en toda nuestra plataforma refuerzan nuestra detección mediante IA para identificar y bloquear continuamente los ataques BEC avanzados, adaptándose a la evolución de las amenazas.
Nuestra protección no se detiene ahí. Las capacidades de detección unificada de Mimecast protegen contra cualquier tipo de ataque basado en el correo electrónico, no sólo contra los BEC.
Casos de uso avanzados de BEC (Business Email Compromise)
Defiéndase contra las amenazas BEC: Elimine las amenazas BEC identificando la actividad anómala y construyendo un gráfico social de las interacciones de los usuarios. Las organizaciones pueden analizar las frases de riesgo y la intención semántica para determinar el propósito de un correo electrónico.
Protección BEC integral:La defensa contra las amenazas BEC no puede depender únicamente de la IA para identificar patrones y anomalías. Requiere un enfoque que combine la IA con indicadores probados a partir de firmas y fuentes de amenazas. Esto garantiza que los ataques se detengan en el punto de detección en lugar de confiar únicamente en la IA como última línea de defensa.
Comprenda qué se bloquea y por qué: Es importante poder clasificar fácilmente una detección de BEC. Cada detección de la Protección avanzada BEC de Mimecast enumera no sólo la política que activó la detección, sino también las características de riesgo que condujeron al veredicto. Como resultado, los administradores dedican menos tiempo a determinar la causa.
El modelado de políticas simplificado: Afinar constantemente las políticas de BEC es insostenible. Mediante el análisis histórico de los mensajes, identificar el impacto de un cambio de política y determinar los mensajes potenciales captados a través de cada nivel de sensibilidad.
Preguntas frecuentes sobre el compromiso del correo electrónico empresarial
¿Qué es un correo electrónico de compromiso empresarial?
El compromiso del correo electrónico empresarial se produce cuando un atacante obtiene acceso a una cuenta de correo electrónico para enviar y recibir correos de forma fraudulenta. Se hacen pasar por el propietario de la cuenta de correo electrónico.
¿Cuál es la diferencia entre phishing y BEC?
Un ataque de phishing puede proceder de cualquier fuente. No depende de que exista una conexión entre el remitente y el destinatario del correo electrónico. En el BEC, el atacante se hace pasar por alguien a quien el destinatario conoce bien o con quien trabaja en la misma empresa. BEC se aprovecha de la confianza que la gente tiene en su empresa y en la seguridad de sus sistemas de correo electrónico.
¿Por qué es tan problemático el compromiso del correo electrónico empresarial?
El principal factor que diferencia el compromiso del correo electrónico empresarial de otros ataques es la confianza que los empleados depositan en sus sistemas de correo electrónico. Se basa en la facilidad con la que esa confianza puede ser explotada por atacantes que se han apoderado de una cuenta de correo electrónico empresarial. Esa confianza puede dar lugar a ataques más potentes que provoquen mayores pérdidas económicas que el ataque medio basado en el correo electrónico.
¿Cuánto cuesta el compromiso del correo electrónico empresarial?
La frecuencia de los ataques BEC se duplicó en 2023. Eso ha provocado un aumento de los costes para las organizaciones atacadas. Según los datos del IC3 del FBI, el coste medio de un ataque empresarial exitoso que compromete el correo electrónico supera los 125.000 dólares.
Además, en 2023, el IC3 recibió un número récord de reclamaciones del público estadounidense: Se registraron 880.418 quejas, con pérdidas potenciales superiores a 12.500 millones de dólares. Esto supone un aumento de casi 10% en las quejas recibidas. Representa un aumento del 22% en las pérdidas sufridas, en comparación con 2022. El fraude de inversión fue una vez más el tipo de delito más costoso rastreado por el IC3, con un aumento de las estafas de inversión de 3.310 millones de dólares en 2022 a 4.570 millones de dólares en 2023 - un incremento del 38%. El segundo tipo de delito más costoso fue el BEC, con 21.489 denuncias que ascendieron a 2.900 millones de dólares en pérdidas declaradas.
¿Por qué es importante la protección contra el compromiso del correo electrónico empresarial (BEC)?
La protección contra el compromiso del correo electrónico empresarial es crucial debido a los profundos riesgos que crean los ataques BEC. Los ataques BEC pueden causar graves pérdidas financieras a las empresas. También puede ser igualmente costoso para los empleados, clientes o socios que son víctimas. Cuando los empleados, clientes o socios son víctimas porque una organización no se protegió adecuadamente contra BEC, esto puede dañar profundamente la reputación de la organización. Le cuesta la confianza que necesita para funcionar con éxito.
¿Cómo pueden responder las organizaciones a los correos electrónicos empresariales comprometidos?
La prevención eficaz de los ataques de phishing y BEC exige algo más que un enfoque de solución única debido a la visión limitada de la amenaza. Confiar únicamente en la inteligencia artificial es insuficiente. Esto se debe a que la IA por sí sola puede no captar todas las tácticas matizadas empleadas por los ciberdelincuentes. Aunque la IA es una herramienta poderosa para detectar anomalías y patrones, funciona mejor cuando se complementa con otras medidas de seguridad.
La aplicación de normas sólidas de autenticación del correo electrónico ayuda a verificar la legitimidad de los remitentes de correo electrónico y evita la suplantación de identidad, una táctica habitual en los ataques de phishing. Estos protocolos funcionan conjuntamente, garantizando que los correos electrónicos entrantes proceden de las fuentes reclamadas. Como resultado, reduce significativamente el riesgo de intentos de suplantación. Las fuentes de información sobre amenazas desempeñan un papel vital en este enfoque integrado. Estos feeds proporcionan información en tiempo real sobre amenazas emergentes, actores maliciosos conocidos y patrones de ataque actuales.
Las capacidades de detección de IA, aunque no son suficientes por sí solas, son un elemento crucial de las estrategias antiphishing y BEC. Los algoritmos de aprendizaje automático analizan grandes cantidades de contenido de correo electrónico, enlaces incrustados, comportamiento del remitente y patrones de comunicación para detectar signos sutiles de ingeniería social o actividad fraudulenta.
Al utilizar una combinación de inteligencia sobre amenazas, protocolos de autenticación y detección impulsada por IA, crea una estrategia de defensa integral contra los ataques de phishing y BEC. Este enfoque por capas aborda varios aspectos de la amenaza. Entre ellas se incluyen impedir que los correos electrónicos maliciosos lleguen a las bandejas de entrada, detectar intentos sofisticados de ingeniería social y bloquear el acceso a enlaces maliciosos.
