Anatomía de los ataques al correo electrónico corporativo

Ataques de ejecución lenta, pero muy lucrativos

Los ataques al correo electrónico corporativo (BEC) han evolucionado

Las estafas de phishing llevan mucho tiempo asolando a organizaciones de todo el mundo, desde el phishing de objetivo definido dirigido a empleados hasta el fraude más general de pago por anticipado, que consiste en solicitar un pequeño importe a cambio de un pago mayor.

Recientemente, una nueva técnica, el fraude mediante correo electrónico comprometido de proveedor o VEC, está complicando la situación a las empresas que quieren proteger a sus usuarios contra las estafas.

Al igual que los ataques al correo electrónico corporativo (BEC), el funcionamiento de los ataques VEC consiste en suplantar a un tercero de confianza y enviar a un objetivo un correo electrónico que parece legítimo pero que es malicioso. Mientras que los ataques BEC tradicionales suelen pretender proceder de una persona de confianza de la organización, los ataques VEC van un paso más allá: suplantan a proveedores (u otros terceros de confianza) para engañar al objetivo y conseguir que este pague facturas fraudulentas, revele datos confidenciales o conceda acceso a las redes y los sistemas corporativos.

Según una encuesta reciente, el 98 % de las empresas encuestadas se han visto afectadas negativamente por una brecha de ciberseguridad ocurrida en su cadena de suministro. Y el coste para las organizaciones es grave. En un único ataque, un fabricante del Grupo Toyota perdió más de 37 millones de dólares tras las indicaciones de pago fraudulentas de un tercero malintencionado. En general, el FBI informa de que los ataques BEC (de los que los ataques VEC son un subconjunto) han supuesto colectivamente 43 000 millones de dólares en pérdidas en los últimos cinco años.

Debido a la naturaleza personalizada de los ataques VEC, puede ser extraordinariamente difícil identificar una solicitud maliciosa, incluso para los profesionales de la seguridad más experimentados. Y estos ataques son cada vez más frecuentes, en parte debido a la transición global hacia el trabajo remoto y hacia los sistemas de correo electrónico basados en la nube, que pueden no tener funciones de seguridad nativas o activadas resistentes al phishing.

Para anticiparse a estas técnicas de phishing en constante cambio, es necesaria una estrategia multidimensional de seguridad del correo electrónico. Esta estrategia debe estar diseñada para detectar y marcar las extensiones de correo electrónico y los cambios de URL sospechosos, validar los nombres de dominio y examinar rigurosamente las solicitudes de terceros.

Cómo funcionan los ataques VEC

El fraude mediante correo electrónico comprometido de proveedor o VEC, también conocido como "ataques a la cadena de suministro financiero", es más sofisticado y selectivo que los ataques BEC estándar, que no es necesario adaptar a una persona específica para que tengan éxito.

En un ataque BEC, un atacante se hace pasar por una persona concreta de una organización, a menudo un director general o alguien con autoridad. A continuación, envía solicitudes de esa persona a varios objetivos de la organización.

Por ejemplo, un atacante podría enviar solicitudes de pago genéricas a los empleados afirmando ser el director general de la empresa. Aunque las solicitudes puedan parecer legítimas, son relativamente fáciles de desmentir si el empleado confirma la solicitud con el propio director general.

En cambio, el ataque VEC suele requerir un mayor conocimiento de las relaciones empresariales existentes. Por ejemplo, los detalles de los proyectos en curso, los datos presupuestarios y los calendarios de las transacciones financieras. Este proceso de investigación puede llevar entre semanas y meses, pero las ganancias potenciales para el atacante son mucho mayores que con los métodos de ataque más generalizados. El motivo es que el objetivo puede tardar mucho más tiempo en identificar el ataque e impedir que se efectúen los pagos.

Una vez que un atacante ha convencido a su objetivo para que interactúe con él, puede llevar a cabo otras acciones maliciosas: solicitar el pago de facturas falsas, manipular los datos de la cuenta de facturación, recopilar información confidencial sobre la organización objetivo, etc.

El diagrama anterior muestra una secuencia de ataque VEC, en la que el atacante se infiltra en la cuenta de correo electrónico de un proveedor para realizar solicitudes de pago fraudulentas.

Cómo funcionan los ataques VEC en el mundo real

En una serie reciente de ataques, el FBI descubrió que los atacantes suplantaban a empresas de construcción de EE. UU., un sector con unos ingresos anuales medios de 1,9 billones de dólares. Los atacantes investigaron las principales empresas de construcción del país y recopilaron datos públicos y privados sobre las bases de clientes de las empresas.

A continuación, utilizaron la suplantación de dominio para crear cuentas de correo electrónico desde las que pudieran lanzar comunicaciones fraudulentas con las organizaciones objetivo, a menudo solicitando un cambio en los datos de su cuenta bancaria. Los atacantes, mediante las tácticas de los ataques VEC, en las que adaptaban los mensajes de correo electrónico, las solicitudes de facturas y los cambios en los depósitos directos a cada objetivo (basándose en los datos que ya habían recopilado), estafaron a las organizaciones "cientos de miles a millones de dólares".

Con frecuencia, señaló el FBI, pasaban "días o semanas" antes de que las víctimas se percataran siquiera de que se había llevado a cabo el ataque. Y las opciones de recuperación financiera eran limitadas: cuando un distrito escolar transfirió por error 840 000 dólares a una empresa de construcción fraudulenta, solo pudo recuperar 5000 dólares de los fondos robados.

Cómo identificar los intentos de ataques VEC

Al igual que la mayoría de los ataques de phishing avanzado, los ataques VEC son difíciles de detectar. Los ciberdelincuentes suelen utilizar una combinación de métodos de ataque para que sus mensajes parezcan reales. Por ejemplo, suplantar el dominio de un proveedor de confianza o facilitar información que puede no ser pública para "demostrar" su legitimidad.

Hay tres razones principales por las que los ataques VEC suelen eludir la detección:

1. El proveedor inicial no se da cuenta de que está en riesgo.

2. La campaña se desarrolla durante periodos de tiempo prolongados y múltiples hilos de correo electrónico, en los que la mayor parte de la conversación es inofensiva y carece de contenido malicioso.

3. Las llamadas a la acción (por ejemplo, pagar una factura recurrente) no se marcan como sospechosas porque están diseñadas para parecer normales y no urgentes.

Para evitar los ataques VEC, las organizaciones necesitan un socio de seguridad que pueda ayudar a verificar los correos electrónicos entrantes y mitigar la actividad fraudulenta. Algunas estrategias útiles para evitar los ataques VEC son las siguientes:

• Configurar los ajustes del correo electrónico para identificar y bloquear los intentos de phishing. Utiliza protocolos de seguridad rigurosos para explorar y marcar los mensajes de correo electrónico maliciosos.

  • Evita la suplantación de identidad de correo electrónico utilizando protocolos de autenticación del correo electrónico como Sender Policy Framework (SPF), DomainKeys Identified Mail (DKIM) y Domain-based Message Authentication Reporting and Conformance (DMARC)

  • Abandona los protocolos de correo electrónico menos seguros como POP, IMAP y SMTP

  • Marca las URL de aspecto sospechoso con las reglas del sistema de detección de intrusos (IDS)

  • Utiliza la autenticación multifactor (MFA) para verificar el acceso de terceros y las solicitudes de cambios a nivel de cuenta (como el restablecimiento de la contraseña).

• Examinar las solicitudes de transacciones de terceros. Verifica toda la información de la transacción y los detalles de la cuenta con las partes correspondientes antes de aprobar las solicitudes de transferencia de fondos. Además, incorpora un proceso formal de revisión y aprobación cuando la información bancaria haya sido modificada por un proveedor existente.

• Sensibilizar a los empleados sobre las nuevas estafas. Las técnicas de phishing evolucionan continuamente para eludir la mitigación. Para reducir la probabilidad de éxito de un ataque, sensibiliza sistemáticamente a los empleados sobre las señales habituales de las amenazas del correo electrónico.

  • Aplica los métodos de mitigación y los procesos internos que tu organización haya desarrollado para identificar los ataques basados en el correo electrónico.

  • Forma a los usuarios para que examinen los correos electrónicos en busca de elementos comunes de phishing: erratas en los nombres de dominio, hipervínculos que contengan variaciones de las URL reales (p. ej., "RealCo.com" en lugar de "RealCompany.com"), etc.

  • Anima a los empleados a adoptar buenas practicas con el correo electrónico: no responder a solicitudes no solicitadas o urgentes de información personal o financiera.

Detectar y prevenir los ataques VEC con Cloudflare

La seguridad del correo electrónico de Cloudflare protege contra una amplia variedad de ataques, incluidos los intentos de fraude mediante correo electrónico comprometido de proveedor de objetivo definido y a largo plazo. Mediante una combinación de rastreo web, análisis de patrones y técnicas avanzadas de detección, explora Internet en busca de infraestructuras de atacantes, analiza los mensajes para identificar elementos sospechosos y bloquea los correos electrónicos de phishing para que no lleguen a la bandeja de entrada.

Esta protección avanzada del correo electrónico se basa en la red global de Cloudflare, que bloquea una media de 209 MM de ciberamenazas al día. De esta forma, las organizaciones cuentan con información exclusiva sobre amenazas que les permiten filtrar con mayor eficacia los ataques de phishing selectivos y otras ciberamenazas. Y, como parte de la plataforma Cloudflare Zero Trust, ayuda a proporcionar una seguridad permanente e integral a los usuarios tanto remotos como presenciales.

Este artículo forma parte de un conjunto de publicaciones sobre las últimas tendencias y temas que afectan a los responsables de la toma de decisiones sobre tecnología en la actualidad.

CONCLUSIONES CLAVE

Después de leer este artículo podrás entender:

• Cómo se infiltran en las organizaciones los ataques VEC

• Las señales de advertencia de un ataque VEC

• Las estrategias para identificar y evitar las sofisticadas estafas de phishing

Recursos relacionados

• Evaluación del riesgo de phishing

• Seminario web: Phishing y ataques al correo electrónico corporativo

• Informe de la seguridad del correo electrónico de 2021: Todo empezó con un intento de phishing

• Ficha técnica: Seguridad del correo electrónico de Cloudflare