Qué aprenderá en este artículo
- La suplantación de identidad por correo electrónico de los proveedores tiene como objetivo las relaciones con proveedores de confianza, los procesos de pago y los patrones de comunicación con los proveedores.
- Los atacantes pueden utilizar una cuenta de proveedor comprometida, un dominio falsificado, un dominio similar o un hilo de correo electrónico activo para que las solicitudes fraudulentas parezcan legítimas.
- Estos ataques son difíciles de detectar, ya que a menudo no contienen malware, archivos adjuntos sospechosos ni enlaces maliciosos evidentes.
- Para reducir el riesgo es necesario contar con una seguridad por capas del correo electrónico, la verificación de proveedores, la sensibilización de los usuarios, el contexto conductual y la gestión de riesgos de los proveedores externos.
- Mimecast puede ayudar a las organizaciones a reforzar su protección frente a la suplantación de identidad, la apropiación de cuentas y las amenazas por correo electrónico dirigidas a personas concretas.
Las relaciones con los proveedores se basan en la confianza. Los equipos de finanzas esperan recibir las facturas. Los equipos de compras esperan que se actualicen los contratos. Las unidades de negocio esperan que los mensajes de los proveedores lleguen a tiempo. Los ataques que comprometen el correo electrónico de los proveedores se aprovechan de ese ritmo habitual.
En lugar de atacar directamente a una empresa, los ciberdelincuentes se aprovechan de las comunicaciones con proveedores de confianza para desviar pagos, sustraer datos o manipular los flujos de trabajo de los proveedores. Para las organizaciones con cadenas de suministro complejas, esto convierte el correo electrónico cotidiano en un grave riesgo empresarial.
¿En qué consiste el «Vendor Email Compromise»?
La suplantación de identidad por correo electrónico de un proveedor es un ataque dirigido a través del correo electrónico de un tercero en el que los ciberdelincuentes se hacen pasar por un proveedor o comprometen su cuenta para engañar a los clientes o socios comerciales de dicho proveedor. El objetivo suele ser el fraude financiero, el robo de datos o el acceso no autorizado a información empresarial confidencial.
Los ataques de suplantación de identidad por correo electrónico dirigidos a proveedores se basan en relaciones comerciales reales. Los atacantes pueden analizar los datos de contacto de los proveedores, los plazos de facturación, los ciclos de facturación, las fechas de renovación y los patrones habituales de comunicación antes de enviar correos electrónicos fraudulentos. De este modo, las solicitudes para actualizar la información de pago, revisar las instrucciones de pago o tramitar una factura fraudulenta resultan más familiares.
Compromiso del correo electrónico de un proveedor frente al BEC
El «compromiso del correo electrónico de proveedores» está relacionado con business email compromise, pero tiene un ámbito de aplicación más limitado. Un ataque de BEC de mayor alcance puede tener como objetivo a los directivos, a los equipos de nóminas, a los formularios fiscales, a las tarjetas regalo o a las autorizaciones de pagos internas. La vulneración de la seguridad del correo electrónico de los proveedores se centra en la identidad de los proveedores, la comunicación entre estos y los clientes, y la vulneración de la seguridad de la cadena de suministro financiera.
¿Cómo funciona el ataque de suplantación de identidad por correo electrónico de proveedores?
La filtración del correo electrónico de un proveedor suele seguir una secuencia de ataque en varias fases. El método concreto puede variar, pero el objetivo es el mismo: convertir el acceso de un proveedor de confianza en un caso de fraude. Los atacantes suelen dedicar tiempo a analizar las relaciones con los proveedores y los procesos de pago antes de enviar una solicitud que parezca rutinaria.
Análisis de proveedores
Un atacante que utiliza la técnica VEC investiga en primer lugar los contactos públicos del proveedor, sus dominios, su equipo directivo, sus clientes y sus relaciones comerciales. Pueden revisar sitios web, comunicados de prensa, ofertas de empleo, perfiles en redes sociales, portales de contratación pública y datos objeto de filtraciones. Cuanto mejor comprendan cómo funciona el proveedor, más fácil resultará crear correos electrónicos convincentes que simulen un ataque a la cuenta de correo del proveedor.
Identificación de objetivos
A continuación, los atacantes identifican a las personas con mayor probabilidad de tramitar las solicitudes de los proveedores. Entre ellos suelen figurar los responsables de finanzas, compras, cuentas a pagar, gestión de proveedores y operaciones. Un empleado que gestione habitualmente facturas, órdenes de compra, información de pagos o la incorporación de proveedores puede convertirse en un objetivo de gran valor.
Estudio sobre los ciclos de facturación
Los atacantes pueden analizar los plazos de facturación, las renovaciones, los calendarios de pago y los patrones habituales de comunicación con los proveedores. Esto les permite enviar un correo electrónico sospechoso en un momento en el que la solicitud parece esperada. Una factura fraudulenta enviada hacia el final de un periodo de facturación puede parecer algo habitual. Las facturas falsas vinculadas a una relación comercial real pueden resultar aún más difíciles de cuestionar.
Representación de flujos de trabajo
Antes de enviar el correo electrónico malicioso, los atacantes pueden planificar los pasos de aprobación y las vías de escalación. Quieren saber quién puede autorizar los cambios en los pagos, quién puede liberar los fondos y qué documentación se requiere. En los esquemas más sofisticados, los estafadores que utilizan la técnica BEC también buscan lagunas en los procedimientos de modificación de pagos o medidas de verificación deficientes.
Compromiso o suplantación de identidad
A continuación, el atacante o bien se hace con el control de una cuenta de correo electrónico real o bien se hace pasar por el proveedor. Pueden suplantar una cuenta de un proveedor, falsificar el dominio de un proveedor, crear un dominio similar o comprometer un hilo de correo electrónico activo. Una cuenta comprometida resulta especialmente peligrosa, ya que el mensaje puede proceder de un buzón legítimo con un historial de correo electrónico real, firmas y contexto.
Manipulación de pagos
El último paso es la solicitud fraudulenta. Los atacantes pueden enviar datos bancarios actualizados, instrucciones de transferencia modificadas, recordatorios urgentes de pago, facturas falsas o una factura fraudulenta adjunta a un hilo de conversación ya existente. Dado que la solicitud parece proceder de un proveedor de confianza, es posible que la organización afectada procese el pago antes de que nadie se dé cuenta del fraude.
¿Por qué resulta difícil detectar el compromiso de la seguridad del correo electrónico de los proveedores?
La suplantación de identidad a través del correo electrónico de un proveedor resulta difícil de detectar, ya que se aprovecha de las relaciones de confianza que existen con la organización. Es posible que los empleados ya conozcan al proveedor, reconozcan su forma de expresarse y esperen recibir una factura o una solicitud de pago en ese momento.
Los mensajes fiables parecen rutinarios
Cuando un mensaje coincide con el momento adecuado, la cantidad y el patrón de comunicación correctos, puede parecer algo habitual en lugar de sospechoso. El riesgo es aún mayor cuando el mensaje procede de una cuenta de proveedor que ha sido comprometida, ya que un buzón legítimo puede superar los controles básicos del remitente e incluir datos de contacto reales, firmas y correspondencia previa.
Los indicadores tradicionales pueden resultar limitados
Muchos ataques de suplantación de identidad a través del correo electrónico dirigidos a proveedores no incluyen malware, archivos adjuntos sospechosos ni enlaces maliciosos evidentes. Es posible que el correo electrónico simplemente solicite al destinatario que actualice sus datos bancarios, confirme la información de pago o procese una factura revisada.
La detección requiere un contexto empresarial
La detección suele requerir un análisis del comportamiento, el contexto de riesgo de los proveedores, la detección de anomalías, la inteligencia de dominio y la validación del flujo de trabajo de pagos. Un mensaje puede resultar sospechoso no por un único elemento técnico, sino porque el comportamiento del remitente, el tipo de solicitud o el cambio en el pago se desvían de los patrones habituales de comunicación de los proveedores.
¿Cuáles son los riesgos empresariales que conlleva el compromiso de la seguridad del correo electrónico de los proveedores?
La filtración del correo electrónico de un proveedor puede afectar a más de un pago. Dado que estos ataques se aprovechan de la confianza depositada en los proveedores, de los plazos de facturación y de los procesos habituales de pago, sus repercusiones pueden extenderse a los equipos de finanzas, compras, asuntos jurídicos, cumplimiento normativo, gestión de proveedores y seguridad.
- Pérdidas económicas y trastornos en los pagos: una estafa de VEC que tenga éxito puede dar lugar a pagos a proveedores mal dirigidos, transferencias bancarias fraudulentas, retrasos en los servicios o envíos, disputas por facturas impagadas y laboriosos esfuerzos para recuperar los fondos. Incluso cuando se recuperan los fondos, es posible que los equipos sigan perdiendo un tiempo valioso investigando y solucionando el problema relacionado con el pago.
- Repercusiones operativas y jurídicas: es posible que el departamento de finanzas tenga que suspender los pagos, que el departamento de compras tenga que volver a validar los datos de los proveedores y que los equipos jurídicos o de cumplimiento normativo tengan que revisar las obligaciones de presentación de informes. Esto puede ralentizar la actividad empresarial habitual mientras los equipos aclaran qué ha ocurrido y qué es lo que hay que documentar.
- Requisitos de la investigación de seguridad: es posible que los equipos de seguridad tengan que determinar si el incidente ha implicado la violación de la seguridad del correo electrónico, la apropiación de una cuenta, el acceso no autorizado o una vulneración más amplia de la cadena de suministro. Es posible que también tengan que revisar los mensajes relacionados, la actividad de inicio de sesión, los dominios de los proveedores y los usuarios afectados.
- Daños a los proveedores y a la cadena de suministro: un proveedor que se vea afectado puede sufrir daños a su reputación, problemas de confianza con los clientes, riesgos legales y disputas financieras. Los clientes también pueden preguntarse si el proveedor cuenta con los controles suficientes para proteger las comunicaciones futuras.
- Mayor riesgo derivado de terceros: una sola cuenta de proveedor comprometida puede poner en peligro a múltiples clientes o socios a lo largo de la cadena de suministro. Esto permite a los atacantes utilizar una relación de confianza como vía de acceso a numerosas organizaciones conectadas entre sí.
Estos riesgos ponen de manifiesto por qué la vulneración de la seguridad del correo electrónico de los proveedores debe considerarse tanto un problema de seguridad del correo electrónico como un riesgo para la cadena de suministro. Las organizaciones necesitan controles que protejan las comunicaciones con los proveedores de confianza antes de que una solicitud rutinaria se convierta en un incidente financiero u operativo.
¿Cómo pueden las organizaciones evitar que se vean comprometidas las cuentas de correo electrónico de sus proveedores?
Para evitar que se comprometa la seguridad del correo electrónico de los proveedores, es necesario aplicar controles en varias capas que abarquen la seguridad del correo electrónico, la verificación de los proveedores, los procesos de pago y la sensibilización de los empleados. El objetivo es que resulte más difícil confiar en las solicitudes fraudulentas y más fácil investigarlas.
Conozca a su proveedor
Conozca qué proveedores presentan un alto riesgo, qué pueden solicitar y cómo suelen comunicarse. Mantenga registros precisos de los proveedores, los canales de pago autorizados y los puntos de contacto verificados, de modo que resulte más fácil detectar las solicitudes inusuales.
Sepa cuándo los proveedores se ven comprometidos
Esté atento a cambios repentinos en los datos bancarios, a una urgencia inusual, a nuevas direcciones de respuesta, a archivos adjuntos inesperados o a mensajes que eludan los procedimientos habituales. Verifique las solicitudes sospechosas de los proveedores a través de un canal conocido antes de que se transfiera dinero o se transmitan datos.
Utilice estrategias de protección por niveles
Combine la seguridad del correo electrónico, la autenticación, los controles de procesos y la sensibilización del personal. Los controles técnicos pueden ayudar a detectar dominios falsificados, suplantaciones de identidad, enlaces maliciosos y archivos adjuntos sospechosos, mientras que los controles de pago reducen el riesgo de fraude en las transferencias bancarias.
Mejore su proceso de investigación
Facilite a los empleados la notificación de correos electrónicos sospechosos procedentes de proveedores y a los equipos de seguridad su revisión rápida. Unas vías de escalación claras ayudan a los departamentos de finanzas y de compras a verificar las solicitudes, suspender los pagos y detener el fraude antes de que el daño se extienda.
¿Cómo puede Mimecast ayudar a reducir el riesgo de compromiso del correo electrónico de los proveedores?
Mimecast puede contribuir a reducir el riesgo de que el correo electrónico de un proveedor se vea comprometido, como parte de una defensa por capas contra la suplantación de identidad, la apropiación de cuentas y las amenazas de correo electrónico dirigidas a personas concretas. Dado que VEC suele hacer un uso indebido de las comunicaciones con los proveedores de confianza, las medidas de protección deben tener en cuenta tanto las señales técnicas como la toma de decisiones de los empleados.
- Protección avanzada contra amenazas en el correo electrónico: ayuda a detectar intentos de suplantación de identidad, enlaces sospechosos, archivos adjuntos maliciosos, dominios falsificados y amenazas dirigidas en las comunicaciones con los proveedores. Esto proporciona a los equipos una mayor protección cuando los mensajes fraudulentos no se asemejan alos ataquestradicionales de phishing .
- Confianza en los proveedores y contexto de los mensajes: aporta contexto a los mensajes de riesgo mediante inteligencia de dominio, protección de URL, análisis de archivos adjuntos y detección de comportamientos sospechosos de los remitentes. Esto ayuda a los equipos de seguridad a evaluar si la solicitud de un proveedor se ajusta a los patrones habituales de comunicación.
- Riesgos humanos y contexto conductual: ofrece apoyo a los empleados que desempeñan funciones de alto riesgo, como las de finanzas, compras y cuentas por pagar, mediante medidas de sensibilización de los usuarios, señales de comportamiento y protección específica. Esto contribuye a reducir la probabilidad de que un empleado acceda a una solicitud fraudulenta de un proveedor bajo presión.
- Defensa por capas contra el VEC: funciona en combinación con la formación de los usuarios, los procesos de verificación, la gestión de riesgos de terceros y los controles de pago para reducir la probabilidad de que se produzca un fraude. Esto proporciona a las organizaciones múltiples puntos de control antes de que se modifiquen los datos de pago, los detalles de la factura o los fondos.
En conjunto, estas funciones contribuyen a que las solicitudes fraudulentas de los proveedores sean más fáciles de detectar, verificar y detener antes de que se traduzcan en pérdidas económicas.
Cómo proteger la confianza de los proveedores frente al compromiso de la seguridad del correo electrónico de los proveedores
La filtración de los correos electrónicos de los proveedores es algo más que una simple amenaza por correo electrónico. Se trata de un riesgo de la cadena de suministro que gira en torno a la confianza, la sincronización y la comunicación empresarial habitual. Los atacantes analizan las relaciones con los proveedores, los ciclos de facturación y los procesos de pago para que sus solicitudes parezcan rutinarias cuando llegan al empleado encargado de tramitarlas.
La mejor defensa es aquella que se basa en varias capas. Las organizaciones deben conocer a sus proveedores, detectar indicios de vulnerabilidades, verificar los cambios en los pagos, formar a los empleados sobre cómo reconocer correos electrónicos de VEC realistas y utilizar sistemas avanzados de seguridad del correo electrónico para identificar amenazas que los indicadores tradicionales puedan pasar por alto. La confianza en los proveedores es valiosa, pero no debería depender únicamente del correo electrónico.
Descubra cómo Mimecast refuerza la protección frente a la suplantación de identidad, la apropiación de cuentas, el compromiso de la seguridad y las amenazas por correo electrónico dirigidas a personas concretas en toda su organización.