¿Qué es el compromiso de correo electrónico empresarial (BEC)?

El compromiso de correo electrónico empresarial (BEC) es un ataque de ingeniería social basado en correo electrónico que tiene como objetivo estafar a sus víctimas. Las campañas de ataques BEC suelen eludir los filtros de correo electrónico tradicionales.

Objetivos de aprendizaje

Después de leer este artículo podrás:

  • Definir el compromiso de correo electrónico empresarial (BEC)
  • Enumerar algunas de las funciones comunes de los correos electrónicos BEC
  • Describir los métodos para detener las campañas BEC

Copiar enlace del artículo

¿Qué es el compromiso de correo electrónico empresarial (BEC)?

El correo electrónico de compromiso empresarial (BEC) es un tipo de ataque de ingeniería social que se produce mediante correo electrónico. En un ataque BEC, un atacante falsifica un mensaje de correo electrónico para engañar a la víctima y hacer que realice alguna acción, la mayoría de las veces, transferir dinero a una cuenta o lugar que controla el atacante. Los ataques BEC se diferencian de otros tipos de ataques basados en correo electrónico en un par de aspectos clave:

  1. No contienen malware, enlaces maliciosos o archivos adjuntos al correo electrónico
  2. Se dirigen a personas concretas dentro de las organizaciones
  3. Están personalizados para la víctima prevista y suele haber una investigación previa de la organización en cuestión

Los ataques BEC son especialmente peligrosos porque no contienen malware, enlaces maliciosos, archivos adjuntos peligrosos en el correo electrónico u otros elementos que un filtro de seguridad del correo electrónico podría identificar. Los correos electrónicos utilizados en un ataque BEC suele incluir solo texto, lo cual facilita que los atacantes puedan camuflarlos en el tráfico de correo electrónico normal.

Además de eludir los filtros de seguridad del correo electrónico, los correos electrónicos BEC están diseñados específicamente para engañar al destinatario para que los abra y lleve a cabo una acción basada en el mensaje que contienen. Los atacantes utilizan la personalización para adaptar el correo electrónico a la organización objetivo. El atacante puede hacerse pasar por alguien con quien la víctima mantiene una correspondencia habitual por correo electrónico. Algunos ataques BEC tienen lugar incluso en medio de un hilo de correo electrónico ya existente.

Lo habitual es que un atacante se haga pasar por alguien de mayor rango en la organización para motivar a la víctima a realizar la petición maliciosa.

¿Por qué son tan difíciles de detectar los ataques BEC?

Otras razones por las que los ataques BEC son difíciles de localizar pueden ser las siguientes:

  • Tienen un volumen bajo: los picos inusuales de tráfico de correo electrónico pueden alertar a los filtros de seguridad de correo electrónico de un ataque en curso. Pero los ataques BEC tienen un volumen muy bajo, con frecuencia son solo uno o dos correos electrónicos. Pueden llevarse a cabo sin generar un pico de tráfico de correo electrónico. Este bajo volumen permite que una campaña BEC cambie regularmente su dirección IP de origen, lo cual hace más difícil bloquear la campaña.
  • Utilizan una fuente o un dominio legítimo: los ataques de phishing a gran escala suelen proceder de direcciones IP que se bloquean rápidamente. Los ataques BEC, al tener bajo volumen, pueden utilizar como fuente direcciones IP con una reputación neutral o buena. También utilizan la suplantación de dominio de correo electrónico para que parezca que los correos electrónicos proceden de una persona real.
  • Pueden proceder en realidad de una cuenta de correo electrónico legítima: los ataques BEC pueden utilizar una bandeja de entrada de correo electrónico que se ha puesto en riesgo previamente para enviar sus mensajes maliciosos en nombre de una persona sin que esta sea consciente de ello, por lo que el correo electrónico puede proceder en realidad de una dirección de correo electrónico legítima. (Esto requiere un esfuerzo significativamente mayor por parte del atacante, pero ese gasto de esfuerzo concentrado es típico de las campañas BEC).
  • Pasan las comprobaciones de DMARC: la autenticación de mensajes, informes y conformidad basada en dominios (DMARC) es un protocolo para identificar los correos electrónicos que se envían desde un dominio sin autorización. Ayuda a evitar la suplantación de un dominio. Las campañas BEC pueden pasar el DMARC por un par de razones: 1) puede que las organizaciones no hayan configurado el DMARC para bloquear estrictamente los correos electrónicos; 2) los atacantes pueden enviar correos electrónicos desde una fuente legítima.

¿Qué suelen contener los correos electrónicos BEC?

Lo habitual es que los correos electrónicos BEC contengan unas pocas líneas de texto y no incluyan enlaces, archivos adjuntos ni imágenes. En esas pocas líneas, pretenden que el objetivo realice la acción que desean, ya sea transferir fondos a una cuenta específica o conceder acceso no autorizado a datos o sistemas protegidos.

Otros elementos habituales de un correo electrónico BEC pueden incluir:

  • Urgencia: en los correos electrónicos BEC suelen aparecer palabras como "urgente," "rápido," "recordatorio," " importante," y "pronto", especialmente en la línea de asunto, para conseguir que el destinatario actúe lo antes posible, antes de que se dé cuenta de que puede ser objeto de una estafa.
  • Remitente autorizado: los atacantes de BEC se hacen pasar por alguien importante de la organización: por ejemplo, el director financiero o el director general.
  • Suplantación exhaustiva del remitente: los correos electrónicos BEC pueden suplantar a remitentes legítimos (por ejemplo, el director financiero de una organización) mediante la suplantación de su dirección de correo electrónico, la imitación del estilo de escritura de la persona o el uso de otras tácticas para engañar a su víctima.
  • Dar una razón para la solicitud: en ocasiones, para dar legitimidad a lo que puede ser una solicitud inusual, un correo electrónico BEC proporcionará alguna razón de por qué es necesaria la acción. Esto también añade urgencia a la solicitud.
  • Instrucciones específicas: los atacantes dan instrucciones claras, como qué cantidad de dinero debe enviarse y a dónde: es más probable que una cantidad específica parezca legítima. Los atacantes pueden incluir esta información en el correo electrónico inicial, o en un correo de seguimiento en caso de que responda la víctima.
  • Instrucciones para no contactar con el supuesto remitente: si la víctima puede contactar con la supuesta fuente del correo electrónico BEC a través de otro canal de comunicación, puede ser capaz de identificar que el correo electrónico es falso. Para evitarlo, los atacantes suelen dar instrucciones a la víctima para que no se ponga en contacto con el remitente ni confirme la solicitud con nadie más, quizás para que se actúe más rápido.

¿Las puertas de enlace de correo electrónico seguras (SEG) bloquean las campañas BEC?

Una puerta de enlace de correo electrónico seguro (SEG) es un servicio de seguridad de correo electrónico que se sitúa entre los proveedores de correo electrónico y los usuarios del mismo. Identifican y filtran los correos electrónicos potencialmente maliciosos, al igual que un firewall elimina el tráfico de red malicioso. Las SEG ofrecen una protección adicional a las medidas de seguridad integradas que ya ofrecen la mayor parte de los proveedores de correo electrónico (por ejemplo, Gmail y Microsoft Outlook ya cuentan con algunas protecciones básicas).

No obstante, las SEG tradicionales tienen dificultades para detectar campañas BEC bien diseñadas por las razones descritas anteriormente: volumen bajo, carencia de contenido que sea obviamente malicioso, una fuente aparentemente legítima para el correo electrónico, etc.

Por esta razón, la formación de los usuarios y las medidas adicionales de seguridad del correo electrónico son muy importantes para frustrar el compromiso de correo electrónico empresarial.

¿Qué deben hacer los usuarios cuando sospechan que están siendo víctimas de una campaña BEC?

Solicitudes inusuales, inesperadas o repentinas son un signo de un posible ataque BEC. Los usuarios deben informar de posibles mensajes BEC a los equipos de operaciones de seguridad. También pueden comprobarlo con el remitente supuesto del correo electrónico.

Imaginemos que el contable Bob recibe un correo electrónico de Alice, la directora financiera:


Bob,

Necesito enviar a un cliente unas tarjetas regalo para su pizzería favorita. Por favor, compra 10 000 dólares en tarjetas regalo para pizzas y envíalas a la dirección de correo electrónico de este cliente: customer@example.com

Por favor, hazlo rápido. Es MUY urgente. No queremos perder a este cliente.

Voy a coger un avión y no estaré disponible durante las próximas horas.

-Alice

Esta petición le parece un tanto inusual a Bob: el Departamente de contabilidad no se suele encargar de la entrega de tarjetas de regalo de pizzas a los clientes. Llama a Alice, por si todavía no se ha subido al avión. Ella coge el teléfono y no sabe nada de la petición que supuestamente le acaba de enviar. Tampoco se está subiendo a un avión. Bob acaba de detectar un ataque BEC.

¿Qué otras medidas técnicas pueden detectar y bloquear los ataques BEC?

Detección avanzada de la infraestructura de phishing

Algunos proveedores de seguridad de correo electrónico rastrean la web con antelación para detectar servidores de mando y control (C&C), sitios web falsos y otros elementos que los atacantes pueden utilizar en una campaña BEC o un ataque de phishing. Para ello, es necesario utilizar los bots rastreadores web para escanear grandes áreas de Internet (los motores de búsqueda también utilizan bots rastreadores web, pero con objetivos diferentes). Identificar la infraestructura de ataque con antelación permite que el proveedor pueda bloquear los correos electrónicos ilegítimos justo en el momento en que se envían, que de otro modo podrían pasar los filtros de seguridad.

Análisis de aprendizaje automático

El aprendizaje automático es una forma de automatizar el proceso de predicción de resultados en base a un gran conjunto de datos. Puede utilizarse para detectar actividades fuera de lo común: por ejemplo, Cloudflare Bot Management utiliza el aprendizaje automático como método para identificar la actividad de los bots. Para detener los ataques BEC, el aprendizaje automático puede ayudar a identificar solicitudes inusuales, patrones atípicos de tráfico de correo electrónico y otras anomalías.

Analizar las conversaciones de correo electrónico

Ya que los atacantes BEC suelen intentar responder a un hilo existente para añadir legitimidad a sus correos electrónicos, algunos proveedores de seguridad de correo electrónico supervisan las conversaciones para ver si los correos "de" o "para" dentro de una conversación cambian repentinamente.

Procesamiento del lenguaje natural

Esto implica buscar frases clave dentro de los correos electrónicos para saber sobre qué temas se suelen tratar en un determinado conjunto de contactos de correo electrónico. Por ejemplo, se podría rastrear con quién se escribe una determinada persona de una organización sobre transferencias de dinero, relaciones con los clientes o cualquier otro tema. Si los correos electrónicos recibidos por Bob (en el ejemplo anterior) rara vez tratan de las relaciones con los clientes, la inclusión de frases como "un cliente" y "perder este cliente" en el correo electrónico de "Alice" podría ser una señal de que el correo electrónico forma parte de un ataque BEC.

¿Cómo detecta Cloudflare Area 1 Email Security los BEC?

Cloudflare Area 1 Email Security está diseñado para detectar los ataques BEC que la mayoría de las SEG no pueden detectar. Lo hace mediante el uso de muchos de los métodos descritos anteriormente: rastreando Internet en busca de infraestructuras de ataque, empleando análisis de aprendizaje automático, analizando conversaciones de correo electrónico, analizando el contenido de los correos electrónicos, etc.

El correo electrónico sigue siendo uno de los mayores vectores de ataque, lo que hace que, en la actualidad, la seguridad del correo electrónico sea cada vez más importante para las organizaciones. Más información sobre cómo funciona Cloudflare Area 1 Email Security.