El compromiso de correo electrónico empresarial (BEC) es un ataque de ingeniería social basado en correo electrónico que tiene como objetivo estafar a sus víctimas. Las campañas de ataques BEC suelen eludir los filtros de correo electrónico tradicionales.
Después de leer este artículo podrás:
Contenido relacionado
¿Qué es la seguridad del correo electrónico?
Cómo evitar el phishing
Suplantación de correo electrónico
Cómo detener correos no deseados
¿Qué es el SMTP?
Suscríbete a theNET, el resumen mensual de Cloudflare sobre las ideas más populares de Internet.
Copiar el enlace del artículo
El correo electrónico de compromiso empresarial (BEC) es un tipo de ataque de ingeniería social que se produce mediante correo electrónico. En un ataque BEC, un atacante falsifica un mensaje de correo electrónico para engañar a la víctima y hacer que realice alguna acción, la mayoría de las veces, transferir dinero a una cuenta o lugar que controla el atacante. Los ataques BEC se diferencian de otros tipos de ataques basados en correo electrónico en un par de aspectos clave:
Los ataques BEC son especialmente peligrosos porque no contienen malware, enlaces maliciosos, archivos adjuntos peligrosos en el correo electrónico u otros elementos que un filtro de seguridad del correo electrónico podría identificar. Los correos electrónicos utilizados en un ataque BEC suele incluir solo texto, lo cual facilita que los atacantes puedan camuflarlos en el tráfico de correo electrónico normal.
Además de eludir los filtros de seguridad del correo electrónico, los correos electrónicos BEC están diseñados específicamente para engañar al destinatario para que los abra y lleve a cabo una acción basada en el mensaje que contienen. Los atacantes utilizan la personalización para adaptar el correo electrónico a la organización objetivo. El atacante puede hacerse pasar por alguien con quien la víctima mantiene una correspondencia habitual por correo electrónico. Algunos ataques BEC tienen lugar incluso en medio de un hilo de correo electrónico ya existente.
Lo habitual es que un atacante se haga pasar por alguien de mayor rango en la organización para motivar a la víctima a realizar la petición maliciosa.
Otras razones por las que los ataques BEC son difíciles de localizar pueden ser las siguientes:
Lo habitual es que los correos electrónicos BEC contengan unas pocas líneas de texto y no incluyan enlaces, archivos adjuntos ni imágenes. En esas pocas líneas, pretenden que el objetivo realice la acción que desean, ya sea transferir fondos a una cuenta específica o conceder acceso no autorizado a datos o sistemas protegidos.
Otros elementos habituales de un correo electrónico BEC pueden incluir:
Una puerta de enlace de correo electrónico segura (SEG) es un servicio de seguridad de correo electrónico que se sitúa entre los proveedores de correo electrónico y los usuarios del mismo. Identifican y filtran los correos electrónicos potencialmente maliciosos, al igual que un firewall elimina el tráfico de red malicioso. Las SEG ofrecen una protección adicional a las medidas de seguridad integradas que ya ofrecen la mayor parte de los proveedores de correo electrónico (por ejemplo, Gmail y Microsoft Outlook ya cuentan con algunas protecciones básicas).
No obstante, las SEG tradicionales tienen dificultades para detectar campañas BEC bien diseñadas por las razones descritas anteriormente: volumen bajo, carencia de contenido que sea obviamente malicioso, una fuente aparentemente legítima para el correo electrónico, etc.
Por esta razón, la formación de los usuarios y las medidas adicionales de seguridad del correo electrónico son muy importantes para frustrar el compromiso de correo electrónico empresarial.
Solicitudes inusuales, inesperadas o repentinas son un signo de un posible ataque BEC. Los usuarios deben informar de posibles mensajes BEC a los equipos de operaciones de seguridad. También pueden comprobarlo con el remitente supuesto del correo electrónico.
Imaginemos que el contable Bob recibe un correo electrónico de Alice, la directora financiera:
Bob,
Necesito enviar a un cliente unas tarjetas de regalo para su pizzería favorita. Por favor, compra 10 000 dólares en tarjetas regalo para pizzas y envíalas a la dirección de correo electrónico de este cliente: customer@example.com
Por favor, hazlo rápido. Esto es MUY urgente. No queremos perder este cliente.
Me estoy subiendo a un avión y no estaré disponible durante las próximas horas.
-Alice
Esta petición le parece un tanto inusual a Bob: el Departamente de contabilidad no se suele encargar de la entrega de tarjetas de regalo de pizzas a los clientes. Llama a Alice, por si todavía no se ha subido al avión. Ella coge el teléfono y no sabe nada de la petición que supuestamente le acaba de enviar. Tampoco se está subiendo a un avión. Bob acaba de detectar un ataque BEC.
Algunos proveedores de seguridad de correo electrónico rastrean la web con antelación para detectar servidores de mando y control (C&C), sitios web falsos y otros elementos que los atacantes pueden utilizar en una campaña BEC o un ataque de phishing. Para ello, es necesario utilizar los bots rastreadores web para escanear grandes áreas de Internet (los motores de búsqueda también utilizan bots rastreadores web, pero con objetivos diferentes). Identificar la infraestructura de ataque con antelación permite que el proveedor pueda bloquear los correos electrónicos ilegítimos justo en el momento en que se envían, que de otro modo podrían pasar los filtros de seguridad.
El aprendizaje automático es una forma de automatizar el proceso de predicción de resultados en base a un gran conjunto de datos. Puede utilizarse para detectar actividades fuera de lo común: por ejemplo, Cloudflare Bot Management utiliza el aprendizaje automático como método para identificar la actividad de los bots. Para detener los ataques BEC, el aprendizaje automático puede ayudar a identificar solicitudes inusuales, patrones atípicos de tráfico de correo electrónico y otras anomalías.
Ya que los atacantes BEC suelen intentar responder a un hilo existente para añadir legitimidad a sus correos electrónicos, algunos proveedores de seguridad de correo electrónico supervisan las conversaciones para ver si los correos "de" o "para" dentro de una conversación cambian repentinamente.
Esto implica buscar frases clave dentro de los correos electrónicos para saber sobre qué temas se suelen tratar en un determinado conjunto de contactos de correo electrónico. Por ejemplo, se podría rastrear con quién se escribe una determinada persona de una organización sobre transferencias de dinero, relaciones con los clientes o cualquier otro tema. Si los correos electrónicos recibidos por Bob (en el ejemplo anterior) rara vez tratan de las relaciones con los clientes, la inclusión de frases como "un cliente" y "perder este cliente" en el correo electrónico de "Alice" podría ser una señal de que el correo electrónico forma parte de un ataque BEC.
Cloudflare Area 1 Email Security está diseñado para detectar los ataques BEC que la mayoría de las SEG no pueden detectar. Lo hace mediante el uso de muchos de los métodos descritos anteriormente: rastreando Internet en busca de infraestructuras de ataque, empleando análisis de aprendizaje automático, analizando conversaciones de correo electrónico, analizando el contenido de los correos electrónicos, etc.
El correo electrónico sigue siendo uno de los mayores vectores de ataque, lo que hace que, en la actualidad, la seguridad del correo electrónico sea cada vez más importante para las organizaciones. Más información sobre cómo funciona Cloudflare Area 1 Email Security.
Primeros pasos
Conceptos básicos de seguridad del correo electrónico