Business Email Compromise, o BEC, es una estafa de correo electrónico de phishing focalizado que intenta robar dinero o datos confidenciales de una empresa.
En un ataque de BEC, un delincuente cibernético (o banda) envía a los empleados de la organización objetivo correos electrónicos que parecen proceder de un compañero de trabajo, o de un proveedor, socio, cliente u otro asociado. Los correos electrónicos engañan a los empleados para que paguen facturas fraudulentas, hagan transferencias bancarias a cuentas bancarias falsas o divulguen información confidencial, como datos de clientes, propiedad intelectual o finanzas corporativas.
En casos raros, los atacantes de BEC intentan propagar el ransomware o el malware, ya que piden a las víctimas que abran un archivo adjunto o hagan clic en un enlace malicioso. También investigan cuidadosamente a los empleados a los que se dirigen y las identidades que se hacen pasar por ellos para que sus correos electrónicos parezcan legítimos. Las técnicas de ingeniería social, como la suplantación de direcciones de correo electrónico y el pretexto, les ayudan a elaborar correos electrónicos de ataque convincentes que se ven y se leen como si fueran enviados por el remitente suplantado.
A veces, los estafadores hackean y secuestran la cuenta de correo electrónico del remitente, lo que hace que los correos electrónicos de ataque sean aún más creíbles, si no indistinguibles de los mensajes de correo electrónico legítimos. Los ataques de BEC son algunos de los ciberataques más costosos.
Según el Informe del costo de una filtración de datos 2022 de IBM, las estafas de BEC son el segundo tipo de filtración más costosa, lo que cuesta un promedio de 4.89 USD millones. Según el Informe sobre delitos en Internet del FBI Internet Crime Complaint Center, las estafas de BEC costaron a las víctimas estadounidenses un total de 2.7 mil millones de dólares en 2022.
Únase a los líderes de seguridad que confían en el boletín Think para obtener noticias seleccionadas sobre IA, ciberseguridad, datos y automatización. Aprende rápido con tutoriales de expertos y documentos explicativos, que se envían directamente a su bandeja de entrada. Consulte la Declaración de privacidad de IBM.
Los expertos en ciberseguridad y el FBI identifican seis tipos principales de ataques BEC.
El atacante de BEC finge ser un proveedor con el que trabaja la empresa y envía al empleado objetivo un correo electrónico con una factura falsa adjunta. Cuando la empresa paga la factura, el dinero va directamente al atacante. Para que estos ataques sean convincentes, el atacante puede interceptar facturas de proveedores reales y modificarlas para dirigir pagos a sus propias cuentas bancarias.
En particular, los tribunales dictaminaron que las empresas que caen en las facturas falsas siguen siendo culpables de sus contrapartes reales.
Una de las mayores estafas de facturas falsas se llevó a cabo contra Facebook y Google. De 2013 a 2015, un estafador se hizo pasar por Quanta Computer, un fabricante de hardware real con el que trabajan ambas empresas, y robó 98 USD millones de Facebook y 23 USD millones de Google. Aunque se atrapó al estafador y ambas empresas recuperaron la mayor parte de su dinero, este desenlace es poco frecuente para las estafas de BEC.
Los estafadores se hacen pasar por un ejecutivo, generalmente un director ejecutivo (CEO), y le piden a un empleado que transfiera dinero a algún lugar. Esta solicitud a menudo se realiza con el pretexto de cerrar un trato, pagar una factura vencida o incluso comprar tarjetas de regalo para otros empleados.
Los esquemas de fraude del CEO con frecuencia crean un sentido de urgencia, llevando al objetivo a actuar rápida y precipitadamente, por ejemplo: "Esta factura está vencida y vamos a perder el servicio si no la pagamos de inmediato". Otra técnica es crear un sentido de secreto para evitar que el objetivo consulte a sus colegas de trabajo, por ejemplo: "Este trato es confidencial, así que no se lo digas a nadie".
En 2016, un estafador que se hacía pasar por el CEO del fabricante aeroespacial FACC utilizó una adquisición falsa para engañar a un empleado para que transfiriera 47 millones de dólares. Como resultado de la estafa, la junta directiva de la empresa despidió tanto al CFO como al CEO por "violar" sus deberes.
Los estafadores se apoderan de la cuenta de correo electrónico de un empleado no ejecutivo y luego envían facturas falsas a otras empresas o engañan a otros empleados para que compartan información confidencial. Los estafadores suelen utilizar EAC para suplantar las credenciales de cuentas de nivel superior que pueden emplear para cometer fraude a los CEO.
Los estafadores se hacen pasar por un abogado y le piden a la víctima que pague una factura o comparta información confidencial. Las estafas de suplantación de abogados se basan en el hecho de que las personas cooperan con los abogados, y no es extraño que pidan confidencialidad.
Los miembros de la banda rusa BEC Cosmic Lynx a menudo se hacen pasar por abogados como parte de un ataque de doble suplantación. En primer lugar, el CEO de la empresa objetivo recibe un correo electrónico que presenta al CEO a un "abogado" que ayuda a la empresa con una adquisición u otro acuerdo comercial. Luego, el abogado impostor envía un correo electrónico al CEO en el que solicita un pago para cerrar el acuerdo. En promedio, los ataques de Cosmic Lynx roban 1.27 USD millones de cada objetivo.
Muchos ataques de BEC se dirigen a empleados de RR. HH. y finanzas para robar información de identificación personal (PII) y otros datos confidenciales con los que cometer robo de identidad o delitos cibernéticos.
Por ejemplo, en 2017, el IRS advirtiósobre una estafa de BEC que robó datos de empleados. Los estafadores se hicieron pasar por ejecutivos de una empresa y pidieron a un empleado de nóminas que enviara copias de los formularios W-2 de los empleados (que incluyen los números de la seguridad social de los empleados y otros datos confidenciales). Algunos de los mismos empleados de nómina recibieron correos electrónicos de "seguimiento" en los que solicitaban que se realizaran transferencias bancarias a una cuenta fraudulenta. Los estafadores asumieron que los objetivos que encontraron creíble la solicitud de formularios W-2 eran excelentes objetivos para una solicitud de transferencia bancaria.
A principios de 2023, el FBI advirtió sobre un nuevo tipo de ataque en el que los estafadores se hacen pasar por clientes corporativos para robar productos de la empresa objetivo. Mediante información financiera falsa y haciéndose pasar por empleados en el departamento de compras de otra empresa, los estafadores negocian una gran compra con crédito. La empresa objetivo envía el pedido (normalmente, materiales de construcción o hardware informático), pero los estafadores nunca pagan.
Técnicamente, BEC es un tipo de phishing focalizado, un ataque de phishing que se dirige a una persona o grupo de personas específicos. BEC es único entre los ataques de phishing focalizado, dirigidos al empleado o asociado de una empresa u organización, y el estafador finge ser un colega a quien el objetivo conoce o en quien confía.
Si bien algunos ataques de BEC son obra de estafadores solitarios, otros son iniciados por bandas de BEC. Estas bandas operan como empresas legítimas, ya que emplean especialistas, tales como expertos en generación de contactos que cazan objetivos, hackers que irrumpen en cuentas de correo electrónico y redactores profesionales que se aseguran de que los correos electrónicos de phishing no contengan errores y sean convincentes.
Una vez que el estafador o la banda ha elegido un negocio para robar, un ataque BEC suele seguir el mismo patrón.
Casi cualquier empresa, organización sin fines de lucro o gobierno es un objetivo adecuado para los ataques de BEC. Las grandes organizaciones con mucho dinero y clientes, y suficientes transacciones como para que los ataques de BEC pasen desapercibidos entre ellas, son objetivos obvios.
Pero los eventos globales o locales pueden llevar a los atacantes de BEC a oportunidades más específicas, algunas más obvias que otras. Por ejemplo, durante la pandemia de COVID-19, el FBI advirtió que los estafadores BEC que se hacían pasar por proveedores de equipos y suministros médicos facturaban a hospitales y organismos de atención médica.
En el otro extremo (pero no menos lucrativo) del espectro, en 2021 los estafadores de BEC se beneficiaron de proyectos de educación y construcción muy publicitados en Peterborough, NH, y desviaron 2.3 millones de dólares en fondos de la ciudad a cuentas bancarias fraudulentas.
Luego, los estafadores comienzan a investigar la organización objetivo y sus actividades para determinar a los empleados que recibirán los correos electrónicos de phishing y las identidades de los remitentes que los estafadores suplantan.
Las estafas de BEC generalmente se dirigen a empleados de nivel medio (p. ej., departamento de finanzas o departamento de gerentes de recursos humanos), que tienen autoridad para emitir pagos o que tienen acceso a datos confidenciales, y que están inclinados a a cumplir con dichas solicitudes de de de pago o gerente sénior, ejecutivo. Algunos ataques de BEC pueden tener como objetivo nuevos empleados con poca o nula capacitación en materia de seguridad, y una comprensión limitada de los procedimientos y aprobaciones adecuados de pago o intercambio de datos.
Para una identidad de remitente, los estafadores eligen a un compañero de trabajo o asociado que pueda solicitar o influir creíblemente en la acción que el estafador quiere que haga el empleado objetivo. Las identidades de los compañeros de trabajo suelen ser gerentes, ejecutivos o abogados de alto nivel dentro de la organización.
Las identidades externas pueden ser ejecutivos de organizaciones de proveedores o socios, pero también pueden ser compañeros o colegas del empleado objetivo; por ejemplo, un proveedor con el que el empleado objetivo trabaja habitualmente, un abogado que asesora en una transacción o un cliente existente o nuevo.
Muchos estafadores utilizan las mismas herramientas de generación de clientes potenciales que los profesionales legítimos del marketing y las ventas (LinkedIn y otras redes sociales, fuentes de noticias empresariales y sectoriales, programas informáticos de prospección y creación de listas) para encontrar posibles empleados y hacer coincidir las identidades de los remitentes.
No todos los atacantes de BEC dan el paso de hackear las redes de las organizaciones objetivo y del remitente. Pero aquellos que se comportan como malware, observan objetivos y remitentes, y acumulan información y privilegios de acceso durante semanas antes del ataque real. Esto puede permitir a los atacantes:
Elegir los mejores objetivos de empleados e identidades de remitentes en función de los comportamientos observados y los privilegios de acceso.
Obtener más información sobre cómo se envían las facturas y cómo se manejan los pagos o las solicitudes de datos confidenciales para suplantar mejor las solicitudes en sus correos electrónicos de ataque.
Determinar las fechas de vencimiento para pagos específicos a proveedores, abogados, etc.
Interceptar una factura de proveedor legítima o una orden de compra y modificarla para especificar el pago a la cuenta bancaria del atacante.
Tomar el control de la cuenta de correo electrónico real del remitente, por lo que el estafador puede enviar correos electrónicos de ataque directamente desde la cuenta y, a veces, incluso insertarlos en conversaciones de correo electrónico legítimas en curso, para lograr total autenticidad.
Una suplantación convincente es clave para el éxito de BEC, y los estafadores elaboran sus correos electrónicos de ataque para conseguir la máxima autenticidad y credibilidad. Si no han hackeado el correo electrónico del remitente, los estafadores crean una cuenta de correo falsa que suplante la dirección de correo electrónico del remitente para que parezca legítima. (Por ejemplo, pueden usar nombres creativos o tener errores ortográficos en nombres de dominio, como jsmith@company.com o jane.smith@cornpany.com para jane.smith@company.com). Pueden agregar otras señales visuales, como una firma con el logotipo de la empresa del remitente o una declaración de privacidad detallada (y falsa).
Un componente clave del correo electrónico de ataque es el pretexto: una historia falsa, pero plausible redactada para ganarse la confianza del objetivo y convencerlo o presionarlo para que haga lo que el atacante quiere. Los pretextos más eficaces combinan una situación reconocible con un sentido de urgencia e implicación de consecuencias. Un mensaje de un gerente o CEO que diga: "Estoy a punto de subir a un avión. ¿Me pueden ayudar procesando esta factura (adjunta) para evitar cargos por pagos atrasados?" es un ejemplo tradicional de un pretexto BEC.
Según la solicitud, los estafadores también pueden crear sitios web falsos, registrar empresas falsas o incluso proporcionar un número de teléfono falso con el que el objetivo pueda llamar para obtener confirmación.
Las estafas de BEC se encuentran entre los ciberdelitos más difíciles de prevenir porque rara vez usan malware que las herramientas de seguridad pueden detectar. En cambio, los estafadores confían en el engaño y la manipulación. Los estafadores ni siquiera necesitan entrar en la empresa objetivo.
Pueden desplumar a las víctimas por sumas masivas al filtrar, o incluso simplemente suplantar, a un proveedor o cliente. Como resultado, los ataques BEC tardan un promedio de 308 días en identificarse y contenerse, según el Informe del costo de una filtración de datos, el segundo tiempo de resolución más largo de todos los tipos de filtración.
Dicho esto, las empresas pueden tomar las siguientes medidas para defenderse de estas estafas:
La capacitación de concientización sobre ciberseguridad puede ayudar a los empleados a comprender los peligros de compartir de forma excesiva en las plataformas y aplicaciones de redes sociales que utilizan los estafadores para encontrar e investigar sus objetivos. La capacitación también puede ayudar a los empleados a detectar intentos de BEC y adoptar las mejores prácticas, como verificar grandes solicitudes de pago antes de llevarlas a cabo.
Es posible que las herramientas de seguridad del correo electrónico no detecten todos los correos electrónicos de BEC, especialmente aquellos que provienen de cuentas vulneradas. Sin embargo, pueden ayudar a detectar direcciones de correo electrónico suplantadas. Algunas herramientas también pueden marcar contenido sospechoso de correo electrónico que podría indicar un intento de BEC.
La autenticación de dos factores o multifactor puede dificultar que los atacantes BEC hackeen las cuentas de correo electrónico.