Qué aprenderá en este artículo
- La apropiación de una cuenta corporativa consiste en el acceso no autorizado a una cuenta empresarial legítima utilizada en las operaciones de la empresa.
- Puede afectar a las bandejas de entrada de los directivos, a las cuentas de finanzas, a las cuentas administrativas, a las cuentas de servicios compartidos y a los sistemas de atención al cliente.
- Las repercusiones en la empresa suelen incluir el fraude, la suplantación de identidad interna, la fuga de datos, el uso indebido de servicios SaaS y la interrupción de flujos de trabajo sensibles.
- Entre los métodos de ataque más habituales se encuentran el phishing, la ingeniería social, el «password spraying», el «credential stuffing» y los ataques de tipo «man-in-the-middle».
- Una autenticación más segura, los procesos de recuperación protegidos y la supervisión de actividades inusuales en las cuentas son fundamentales para la prevención.
La apropiación de cuentas corporativas de « » no es solo un problema de contraseñas robadas. Se trata de la vulneración de una identidad empresarial de confianza dentro de los sistemas, los flujos de trabajo y las comunicaciones que permiten el funcionamiento de una organización.
Cuando los atacantes consiguen acceder a una cuenta corporativa legítima, pueden aprovecharse de esa confianza para cometer fraudes, filtrar información confidencial de los clientes, entorpecer los procesos de aprobación y adentrarse aún más en las aplicaciones empresariales. Por eso, los equipos de de las empresas deben considerar la apropiación de cuentas como un riesgo operativo, y no solo como un incidente aislado relacionado con el inicio de sesión.
¿Qué es la apropiación de cuentas corporativas?
La apropiación de una cuenta corporativa consiste en el acceso no autorizado a una cuenta empresarial legítima. Esto puede incluir una cuenta de empleado , una cuenta de finanzas o tesorería, una bandeja de entrada ejecutiva, una cuenta administrativa o una aplicación empresarial compartida vinculada a las operaciones diarias.
En qué se diferencia de la apropiación general de cuentas
Lo que diferencia este caso de la apropiación general de cuentas es el contexto empresarial. La vulneración de una cuenta personal puede dar lugar a un robo de identidad o a actividades fraudulentas que afecten al titular de dicha cuenta.
La apropiación de una cuenta corporativa puede afectar simultáneamente a varias cuentas, a los procesos de aprobación de la empresa, a los servicios de atención al cliente, a los flujos de trabajo compartidos de y a la confianza en la organización. Se puede utilizar para:
- Realizar transacciones no autorizadas
- Fingir ser un líder
- Revelar información de la cuenta
- Uso indebido del acceso a SaaS
- Alterar procesos organizativos importantes
El riesgo no se limita únicamente al robo de credenciales por sí solo. Se trata del uso indebido de una cuenta empresarial de confianza dentro de los sistemas en los que la gente ya confía.
¿En qué aspectos supone un riesgo empresarial la apropiación de cuentas corporativas?
La apropiación de cuentas corporativas suele causar el mayor daño allí donde confluyen la confianza, el dinero y el acceso. En la mayoría de las organizaciones , esto significa que el riesgo es mayor en unas pocas áreas clave.
- Flujos de trabajo financieros y de pagos: Las cuentas relacionadas con las finanzas pueden exponer a los estafadores a facturas, aprobaciones, el movimiento de las transacciones ACH, y la autorización para realizar transacciones. Si los atacantes consiguen acceder a una cuenta empresarial relacionada con los pagos, podrían desviar fondos, manipular una transacción o facilitar el fraude por apropiación de cuentas mediante la suplantación de identidad interna.
- Comunicaciones de los directivos: Las cuentas de correo electrónico y los canales de mensajería de los directivos gozan de un alto nivel de confianza. Una suplantación de identidad en este contexto puede servir para respaldar solicitudes de pago urgentes, aprobaciones falsas o ejercer presión social sobre los empleados que dan por hecho que la comunicación es legítima.
- Cuentas de contacto con los clientes: los portales de atención al cliente, los buzones de asistencia y otras cuentas empresariales de contacto con el público externo influyen en la confianza y la continuidad. Una apropiación indebida puede dar lugar a la divulgación de información confidencial de los clientes, interrumpir el servicio o provocar un daño a la reputación si la cuenta se utiliza para actividades fraudulentas.
- Aplicaciones empresariales compartidas: Las herramientas compartidas suelen ofrecer un amplio acceso a los sistemas internos y a información confidencial. Si los atacantes consiguen acceder a una cuenta corporativa compartida, pueden desplazarse por los flujos de trabajo con mayor facilidad de lo que podrían hacerlo a través de una cuenta individual estándar.
Es aquí donde la apropiación de cuentas corporativas se convierte en un riesgo empresarial más amplio, en lugar de limitarse a ser un simple problema de seguridad aislado. Cuanto más estrechamente esté vinculada una cuenta al dinero, a la confianza o al acceso compartido, mayor será el perjuicio que puede causar una toma de control.
Tipos habituales de ataques de suplantación de cuentas corporativas
Los ataques de suplantación de cuentas corporativas suelen comenzar con un método que se aprovecha de la confianza, de una autenticación débil o de credenciales expuestas en . Entre los ejemplos más habituales se incluyen tanto estrategias de carácter técnico como aquellas centradas en las personas.
Phishing
El phishing sigue siendo una de las vías más habituales para la apropiación de cuentas. Los correos electrónicos fraudulentos, las páginas de inicio de sesión falsas u otras tácticas de ingeniería social engañan a un empleado para que introduzca las credenciales de acceso a una cuenta de la empresa.
Ingeniería social
La ingeniería social se basa en la urgencia, la confianza o la suplantación de identidad. Los atacantes pueden hacerse pasar por directivos, compañeros de trabajo, proveedores, o incluso por una entidad financiera para convencer a alguien de que les facilite acceso, restablezca una contraseña o apruebe una acción .
Ataque de «spraying» de contraseñas
El «password spraying» consiste en probar un pequeño número de contraseñas habituales en numerosas cuentas. Está diseñado para evitar bloqueos de acceso en , al tiempo que identifica prácticas de autenticación deficientes en todo el entorno empresarial.
Ataques de suplantación de credenciales
El «credential stuffing» consiste en utilizar credenciales robadas en filtraciones anteriores para intentar acceder a sistemas a gran escala. Si los empleados reutilizan las mismas contraseñas en sus cuentas personales y profesionales, el hecho de que se filtren unas credenciales puede suponer un riesgo para varias cuentas de .
Ataques de tipo «hombre en el medio»
Un ataque de tipo «hombre en medio» puede interceptar sesiones de inicio de sesión, capturar tokens de sesión u observar las comunicaciones en tránsito. En entornos empresariales, esto puede proporcionar a los ciberdelincuentes una vía de acceso a los sistemas de la empresa, incluso sin haber sustraído directamente la contraseña original.
Estos métodos de ataque pueden diferir en cuanto a la técnica utilizada, pero todos ellos se centran en la misma vulnerabilidad: el acceso empresarial de confianza. Por eso la prevención debe centrarse tanto en controles más estrictos como en una detección más temprana en todas las cuentas corporativas.
¿Cuáles son los indicios más comunes de la apropiación de una cuenta corporativa?
Los equipos de seguridad suelen detectar las intrusiones a través de pequeñas señales antes de confirmar el alcance total de la violación de seguridad. e es detectar a tiempo cualquier comportamiento anómalo para poder investigarlo.
-
Comportamiento inusual en el inicio de sesión: un intento de inicio de sesión sospechoso, fallos repetidos al iniciar sesión o patrones de inicio de sesión que no se correspondan con la actividad habitual del usuario pueden indicar que se ha producido una apropiación de la cuenta. El acceso desde ubicaciones, redes o dispositivos inusuales constituye otra señal clara.
-
Restablecimientos inesperados de contraseña: los restablecimientos de contraseña no planificados o las solicitudes de recuperación inusuales pueden indicar que hay atacantes que intentan hacerse con el control de la cuenta. Esto es especialmente importante cuando el empleado no ha sido quien ha impulsado el cambio.
-
Cambios en las reglas de la bandeja de entrada: los cambios en las reglas de la bandeja de entrada son un indicio habitual de que la cuenta de un directivo o del departamento financiero ha sido comprometida. Los atacantes podrían crear reglas ocultas de reenvío o eliminación para poder supervisar los mensajes sin que se les detecte.
-
Actividad de envío anómala: Si una cuenta comienza a enviar mensajes que el usuario no ha iniciado, especialmente mensajes relacionados con autorizaciones, solicitudes de transferencias bancarias o información confidencial de la cuenta, es posible que la cuenta ya se encuentre bajo el control de un atacante .
-
Dispositivos o sesiones inusuales: las sesiones procedentes de terminales o entornos de navegador desconocidos pueden indicar un posible apropiación de control. Esto cobra aún más importancia cuando la cuenta dispone de acceso privilegiado o está vinculada a la banca en línea, a sistemas financieros o a flujos de trabajo orientados al cliente.
Estos indicios no demuestran por sí solos que se haya producido una toma de control, pero deberían dar lugar a una revisión inmediata. En entornos de « » corporativos, una investigación rápida puede marcar la diferencia entre la contención del problema y una interrupción de mayor alcance.
¿Cómo pueden las organizaciones prevenir la apropiación de cuentas corporativas?
La prevención consiste en dificultar el acceso a los atacantes y facilitar a los equipos de seguridad la detección rápida de usos indebidos . En el ámbito empresarial, hay algunos controles que revisten mayor importancia que la mayoría.
Implementar la autenticación de dos factores (MFA)
La autenticación multifactorial (MFA) añade un nivel adicional de autenticación, por lo que las credenciales robadas por sí solas no bastan para obtener acceso. Esta es una de las formas más eficaces de reducir los intentos de apropiación de cuentas en los sistemas empresariales.
Reforzar las políticas de autenticación
Las organizaciones deben reforzar los requisitos de inicio de sesión, los controles de sesión, las normas de acceso condicional y las políticas de contraseñas en todas las cuentas empresariales confidenciales. Una autenticación más sólida reduce las probabilidades de que un simple ataque a la contraseña se convierta en una toma de control exitosa.
Proteger los flujos de recuperación
Unos procesos de recuperación deficientes pueden anular unas defensas sólidas en el inicio de sesión. Los pasos para restablecer la contraseña y recuperar la cuenta deben estar protegidos, de modo que los atacantes no puedan aprovecharse de prácticas de verificación deficientes para hacerse con el control de una cuenta.
Supervisar el comportamiento anómalo de las cuentas
La supervisión debe centrarse en la actividad sospechosa de las cuentas, los cambios inusuales, los patrones de acceso anómalos y el comportamiento de envío de mensajes « » que se salga del ámbito habitual de las funciones del usuario. La detección temprana es fundamental, ya que muchos ataques de suplantación de cuentas tienen éxito al camuflarse entre los flujos de trabajo legítimos.
Para evitar la apropiación de cuentas corporativas se requiere más de un medida de control. Las defensas más sólidas combinan una autenticación más rigurosa , vías de recuperación protegidas y una detección más temprana de comportamientos sospechosos en las cuentas.
Evaluación del riesgo de suplantación de cuentas corporativas
Una evaluación de riesgos eficaz debe centrarse en el impacto en el negocio, y no solo en la exposición técnica. Lo importante es comprender qué aspectos son los más importantes, dónde se encuentran los puntos débiles y qué es lo que hay que solucionar en primer lugar.
-
Paso 1: Realice un inventario de las cuentas empresariales sensibles: Empiece por las cuentas ejecutivas, financieras, administrativas, compartidas y de atención al cliente . Estas cuentas suelen suponer el mayor riesgo empresarial en caso de que se vea comprometida su seguridad.
-
Paso 2: Revise las medidas de protección actuales: compruebe la cobertura de la autenticación multifactorial (MFA), las normas de autenticación, las medidas de recuperación, la visibilidad de la supervisión y cualquier uso del control dual en los flujos de trabajo de pago o aprobación. Esto permite determinar qué cuentas empresariales cuentan ya con medidas de seguridad sólidas y cuáles no.
-
Paso 3: Identifique las vulnerabilidades explotables: busque reglas de acceso deficientes, falta de visibilidad, accesos compartidos que supongan un riesgo, reutilización de credenciales y procesos de recuperación que se basen en una verificación deficiente. A menudo, estas son las condiciones que facilitan una adquisición de tipo « ».
-
Paso 4: Evaluar el impacto en la empresa: Analice las posibles consecuencias en caso de que se viera comprometida una cuenta de gran valor. debería incluir el fraude, las pérdidas económicas, la filtración de datos, la interrupción de los flujos de trabajo y posibles problemas de cumplimiento normativo.
-
Paso 5: Priorice las medidas de mitigación: céntrese en primer lugar en aquellos puntos en los que las defensas débiles coinciden con un elevado impacto en el negocio. Esas son las áreas en las que un simple ataque de apropiación de cuenta tiene más probabilidades de convertirse en un problema empresarial de mayor envergadura.
-
Paso 6: Supervisar y reevaluar: el riesgo no es algo inmutable. A medida que cambian los usuarios, los sistemas y los flujos de trabajo, las organizaciones deberían reevaluar los riesgos y ajustar los controles periódicamente.
Este tipo de revisión ayuda a las organizaciones a centrarse en las cuentas y los flujos de trabajo que más importan. Además, facilita dar prioridad a las correcciones que reducirán en primer lugar el riesgo empresarial real.
Por qué la apropiación de cuentas corporativas es importante para la seguridad de las empresas
La apropiación de cuentas corporativas genera un riesgo empresarial más amplio, ya que convierte el acceso de confianza a la empresa en una herramienta para el fraude « », la suplantación de identidad y la interrupción de los servicios. Una sola cuenta comprometida puede dar lugar a transacciones no autorizadas, revelar información confidencial de los clientes , interferir en las comunicaciones de los directivos o provocar robos y pérdidas económicas en toda la cadena de flujos de trabajo conectados .
Por eso las organizaciones deben considerar la apropiación indebida como algo más que un simple problema de credenciales. Mimecast ayuda a las empresas a mejorar la visibilidad, reforzar la capacidad de respuesta y reducir el riesgo de que se vean comprometidas sus cuentas mediante una protección más sólida de « » contra el phishing, la suplantación de identidad y las actividades sospechosas en las cuentas empresariales de confianza.