El Business Email Compromise (BEC) es una evolución avanzada de los fraudes a través de correo electrónico tradicionales –phishing-. En lugar de correos masivos y genéricos, este fraude se caracteriza por ser más específico y dirigido. Los atacantes usan cuentas corporativas suplantadas o comprometidas para enviar correos electrónicos que parecen legítimos y así inducir a error a los empleados, generalmente para obtener un beneficio económico.
A menudo, los atacantes se presentan como un superior que solicita una acción urgente. La petición suele ser confidencial, con instrucciones para no compartir la información con otras personas de la organización y justificar la urgencia para evitar los procedimientos habituales de comprobación.
¿Cómo se lleva a cabo un ataque BEC?
Compromiso de la cuenta de correo: Esto puede lograrse obteniendo las credenciales de una cuenta real o modificando el dominio de una cuenta legítima para que las diferencias sean imperceptibles a simple vista.
Por ejemplo:
usuario@dominio.com
usuario@dorninio.com
La «m» en «dominio» es cambiada por las letras «rn», lo que a simple vista puede pasar desapercibido.
Contacto mediante la cuenta falsificada: Los ciberdelincuentes envían correos simulando ser una figura de autoridad dentro de la empresa, solicitando información confidencial o cambios en datos sensibles, como cuentas bancarias. Para hacer la solicitud más creíble, en ocasiones los atacantes realizan peticiones previas (como pedir documentación) antes de solicitar acciones más comprometedoras, como transferencias de fondos. Es importante tener en cuenta que esta información inicial puede ser utilizada posteriormente para otros fraudes.
Posible uso de software malicioso –malware–: Aunque los ataques BEC no suelen requerir software malicioso, en algunos casos pueden incluir enlaces o archivos con malware que les permita acceder a los sistemas corporativos sin ser detectados.
Tipos más comunes de ataques BEC
Fraude del CEO: El atacante se hace pasar por un alto directivo (CEO, CFO, etc.) y solicita una transferencia urgente a una cuenta controlada por los ciberdelincuentes o solicita información sensible.
Fraude a proveedores: Se simula ser un proveedor de confianza y se pide modificar los datos bancarios donde se deben realizar pagos, desviando así fondos a cuentas fraudulentas.
Fraude a RR.HH.: Los atacantes se hacen pasar por un empleado y solicitan a Recursos Humanos que cambien el número de cuenta donde se deposita la nómina, redirigiendo el salario a una cuenta controlada por los delincuentes.
¿Cómo protegerse?
El BEC no ataca a los sistemas tecnológicos directamente, sino que utiliza técnicas de manipulación psicológica para que las personas involucradas actúen de manera precipitada. Por eso, ante cualquier petición inusual o urgente, es recomendable:
Verificar la autenticidad del remitente a través de un canal alternativo, como una llamada telefónica directa.
Revisar cuidadosamente la dirección de correo electrónico, en busca de ligeras modificaciones en el dominio.
Implementar políticas claras para la gestión de transferencias y cambios en datos confidenciales, que incluyan una segunda verificación por otro miembro del equipo.
Sensibilizar a los empleados mediante formaciones regulares sobre cómo identificar este tipo de fraudes.
Mantener una actitud de prevención y una comunicación interna clara es clave para minimizar los riesgos.
Fuentes:
Configuración de cookies
