¿Qué es el Business E-mail Compromise?

BEC del inglés Business E-mail Compromise o correo electrónico corporativo comprometido es un ciberataque que está diseñado para obtener acceso a información comercial crítica o extraer dinero a través de una estafa por correo electrónico.

Los ciberdelincuentes envían correos electrónicos que parecen proceder de un miembro de la red de confianza, alguien que ocupa un puesto importante en el trabajo, como un gerente, el director financiero o el director general, un socio comercial o alguien de confianza. Estos correos electrónicos son utilizados con el fin de intentar persuadir a la víctima para que revele información comercial o financiera crítica, o para que procese una solicitud de pago que de otra manera nunca se hubiera hecho.

En muchos casos, este ataque también puede ser llevado a cabo para intentar comprometer una cuenta de correo electrónico a través de un email de phishing (SUPLANTACIÓN DE IDENTIDAD) de credenciales. Una vez que la cuenta está comprometida, los delincuentes utilizan el acceso ilegal para obtener información sobre contactos de confianza, extraer información confidencial, intentar redirigir los pagos por transferencia electrónica o utilizar la cuenta para apoyar o facilitar más ciberdelitos.

 

Elemplo práctico

Supongamos que nuestra empresa se llama Pedro S.L.

El ciberdelincuente suplanta a uno de nuestros proveedores (Proveedor S.L.) e intercepta los correos de facturación que nos envía, cambiando la cuenta del banco donde realizar los pagos, de manera que hagamos una transferencia a una cuenta controlada por ellos.

Imaginaros que para el último pedido, una vez acordado el precio con el proveedor, hemos quedado en que nos van a enviar la factura por medio del correo electrónico para realizar la transferencia. Recibimos la factura y realizamos el pago al número de cuenta indicado en el correo recibido.

Pasados unos días, como no recibimos el pedido nos ponemos en contacto con Proveedor S.L. para reclamarlo. Una empleada de Proveedor S.L. nos indica que aún no han recibido el pago, requisito indispensable para realizar el envío.

Desde Pedro S.L. enviamos el justificante de la transferencia. Al comprobar el justificante, la empleada de Proveedor S.L. para reclamarlo. Una empleada de Proveedor S.L. nos advierte que ese no es su número de cuenta bancaria. ¿Qué ha sucedido? Puede ser que nuestra cuenta de correo o la de nuestro proveedor estén comprometidas, es decir, controladas por el ciberdelincuente.

CASO 1: Nuestra cuenta de correo está comprometida 

El ciberdelincuente ha podido acceder a nuestra cuenta y ha creado una regla de entrada en nuestro buzón de correo. Esta regla, funciona reenviando todo el correo procedente de facturacion @ proveedor . com, a una cuenta de correo desconocida, ciberdelincuente @ email . ru, además, mueve el correo de la bandeja de entrada a una carpeta oculta, para que no lo detectemos.

Si revisamos las cabeceras del correo que hemos recibido con la cuenta bancaria modificada se detecta que la dirección desde la que se envió la factura es facturacion @ proovedor . com. El atacante ha creado un dominio muy parecido al de Proveedor S.A. para suplantar su identidad y cometer el fraude.

CASO 2: Cuenta de correo del proveedor comprometida 

En este caso, Proveedor S.A. recibe llamadas de clientes que han recibido correos con facturas con el número de cuenta modificado, es decir, su correo está comprometido. Aparentemente los correos se envían desde la dirección legítima.

Se detecta una regla de salida en el buzón de correo de Proveedor S.A. que ellos no habían configurado. Esta regla, funciona interceptando todo el correo saliente con facturas hacia clientes, y los reenvía a una cuenta de correo desconocida, ciberdelincuente @ email . ru.

Es posible que su cuenta siga comprometida, ya que los correos a clientes están siendo enviados desde el correo legítimo. Es probable que el ciberdelincuente esté interceptando, toda la información que llega al buzón del proveedor para posteriormente acceder al correo de facturación del proveedor para cometer el fraude.

La víctima que está esperando un correo con la factura del proveedor, baja la guardia, presta menos atención y se confía, lo que hace que estos ataques sean muy efectivos. Además, es un fraude fácil para el ciberdelincuente pues puede obtener ingresos elevados y no precisa tener conocimientos avanzados, solo hacerse con el control de una cuenta, obteniendo, por ejemplo, las credenciales de filtraciones o mediante ingeniería social.

Los ciberdelincuentes recopilan datos sobre sus víctimas que luego usan para generar confianza. Entre otros, pueden encontrar nombres y cargos de los empleados, así como listas de correos, de la web corporativa, redes sociales y otros medios.

En la mayoría de las ocasiones están varias semanas dentro del correo de la víctima, conociendo los pormenores de las operaciones antes de perpetrar el fraude, observan los correos y crean reglas específicas. Esperan a que llegue el momento oportuno para actuar, por ejemplo, cuando se espera una factura de un importe alto, hay un nuevo cliente o el responsable está de vacaciones.

 

¿Cómo han accedido a nuestro correo electrónico?

Han conseguido las credenciales de nuestro correo electrónico, esto puede ser porque:

  • Han entrado en nuestra cuenta de correo por falta de concienciación:
    • tenemos equipos sin acceso por contraseña;
    • nuestras contraseñas están escritas en papeles accesibles o a la vista;
    • tenemos las contraseñas almacenadas en texto plano en el propio equipo, es decir, en cualquier fichero;
    • utilizamos contraseñas poco robustas;
    • no utilizamos doble factor de autenticación.
  • Si han obtenido las credenciales de nuestra cuenta de correo:
    • utilizando ingeniería social;
    • hemos introducido las credenciales (usuario y contraseña) al caer en alguna campaña de phishing suplantando a otra empresa, bancos, entidades de referencia, herramienta o servicio (cloud, Microsoft 365, etc.);
    • shoulder surfing: visualizan las credenciales cuando las tecleamos o si hay una cámara espiando.
  • Hemos sido infectados por malware que puede espiar y robar nuestras credenciales. En particular keyloggers que es un malware que registra nuestras pulsaciones en el teclado. Estos también pueden ser de tipo hardware, por ello revisaremos que no hay ningún dispositivo extraño conectado a nuestros ordenadores y servidores.

  • Lanzan ataques automatizados contra el servidor de correo con contraseñas comunes o contraseñas filtradas por brechas de seguridad:

    • password spraying o ataque de fuerza bruta, probando de manera automatizada y lentamente (para no ser detectados), una a una, contraseñas de uso común (12345678, 11111111, administrador, …) de una lista contra las cuentas del servidor de correo, hasta que consiguen entrar.

    • relleno de credenciales reutilizadas (credential stuffing / credential reuse): los ciberdelincuentes prueban de manera automatizada pares de nombres de usuario y contraseña extraídos de alguna filtración. Se aprovechan de una mala práctica extendida que consiste en la reutilización de credenciales de aplicaciones personales (por ejemplo redes sociales o servicios de streaming) en aplicaciones del entorno corporativo como el correo. De ahí, la importancia de utilizar contraseñas únicas en cada servicio. También se recomienda, por el mismo motivo no utilizar la cuenta corporativa para registrarse en plataformas ajenas a las de la propia empresa.

    • Si han entrado en nuestros sistemas:
      • aprovechando vulnerabilidades no parcheadas en el servidor de correo o errores de configuración;
      • o porque tenemos software, sistemas operativos o navegadores desactualizados y son vulnerables.

    Han tenido acceso al correo y lo han manipulado, pero no tienen las credenciales:

    • Dejamos las sesiones abiertas cuando no estamos delante del ordenador en un entorno abierto.
    • Utilizamos el correo en equipos de uso compartido o en lugares públicos.
    • Los ciberdelincuentes utilizan malware tipo RAT (Remote Access Trojan) o vulnerabilidades de acceso remoto.
    • La wifi está comprometida o no está bien configurada y enviamos los correos sin cifrar.


¿Has sido víctima de un fraude BEC?

En primer lugar debes ponerte en contacto con el banco o entidad financiera correspondiente, para comunicar el hecho e intentar revertir la transferencia.

Reporta el incidente

Ten en cuenta que el correo recibido con el número de cuenta del banco modificado es una evidencia y debe ser analizado. Por ello, hemos de reportar el incidente adjuntando el correo y sus adjuntos para su análisis a INCIBE-CERT (INCIBE-CERT Incidencias ), de manera que llegue con las cabeceras originales.

Denuncia

Después, en particular, si se ha cometido el fraude, tenemos que Catálogo de ciberseguridad.

Comunica la brecha de datos

Si han tenido acceso a nuestro correo electrónico (o a los datos de algún cliente), se ha producido una brecha de seguridad (según el artículo 33 del RGPD) y puede que se hayan visto afectados datos personales. Si es así, el responsable del tratamiento de la empresa tiene que notificar el incidente antes de 72 horas a la Autoridad de control competente, la AEPD o similar en tu comunidad.

Para determinar qué ha pasado y detener el incidente tenemos que seguir estos pasos:

  • Revisaremos si existen reglas o filtros (Outlook o Gmail) no deseados configurados en nuestra cuenta de correo electrónico. Y también a nivel de servidor, si tenemos un servidor de correo propio. Así, obtendremos evidencias por si necesitamos utilizarlas para un juicio y después borraremos estas reglas o filtros. Si subcontratamos este servicio contactaremos con nuestro proveedor para realizar estas comprobaciones y las siguientes.
  • Examinaremos los usuarios de correo para localizar y desactivar los que se hayan creado recientemente y no estén controlados, en particular los que pertenezcan al grupo administrador. Revisaremos también los registros o logs de acceso a la cuenta afectada para detectar accesos ajenos o no controlados.
  • Analizaremos los sistemas de monitorización del servidor de correo, consultando las gráficas o los logs, del tráfico SMTP (protocolo de correo electrónico) saliente en nuestra red. Si este tráfico es muy elevado es probable que nuestro servidor haya sido comprometido.
  • Cambiaremos la contraseña por una robusta. Como medida adicional, se recomienda aplicar doble factor de autenticación.

Para evitar este tipo de incidentes recomendamos:

Cuidar de tu cuenta de correo electrónico corporativo

  • No utilizar el correo corporativo para registrarnos en webs con concursos, foros o servicios ajenos a la empresa.
  • No compartir la cuenta de correo con otros usuarios.
  • Ofuscar las direcciones de correos que publicamos en la web y en redes sociales, para que no puedan ser ‘crawleadas’ (extraídas de forma automática).
  • Evitar utilizar el correo electrónico desde conexiones públicas.

Configurar y actualizar

  • Revisar periódicamente la configuración del correo de la empresa.
  • Mantener las aplicaciones antimalware actualizadas y activar los filtros antispam.
  • Establecer y aplicar una política de uso de contraseñas. Cambiar la contraseña periódicamente, automatizando este proceso configurando la caducidad de la misma en nuestros sistemas.
  • Desactivar la ejecución de macros en ficheros Microsoft Office.

Estar alerta ante posibles fraudes

  • Comprobar mediante un canal de comunicación ajeno al correo electrónico, si el número de cuenta corresponde al destinatario de la factura.
  • Aprender a identificar los correos sospechosos, y tener precaución a la hora de acceder a enlaces o abrir adjuntos que nos faciliten en los correos. Es recomendable analizarlos antes con herramientas online, como virustotal.com, si los enlaces están acortados se puede utilizar unshorten.it o similares.

Utilizar herramientas y configurar protocolos para detectar fraudes, intrusiones y suplantación de nuestro dominio

  • Instalar y monitorizar el tráfico con herramientas IDS e IPS o UTM.
  • Seguir las recomendaciones de INCIBE-CERT para configurar la seguridad en el correo electrónico (parte I y parte II) y evitar suplantaciones. Se requieren conocimientos avanzados. Si tenemos nuestro servidor de correo lo haremos nosotros, si es externo debemos comprobar con nuestro proveedor si aplican estas protecciones.
    • Activar la verificación SPF o Sender Policy Framework: es un protocolo de autenticación de dominios que nos permite identificar los servidores de correo que pueden enviar mensajes en nombre de nuestro dominio (por ejemplo ‘pedro . com’).
    • Activar el protocolo DKIM o Domain Keys Identified Mail: permite mediante técnicas criptográficas (firma electrónica), que quien recibe nuestros mensajes de correo electrónico pueda comprobar que realmente proceden de nuestro dominio y que no han sufrido modificaciones durante la transmisión.
    • Activar el estándar DMARC o Domain-based Message Authentication, Reporting and Conformance: verifica, tanto SPF, como DKIM y nos permite además, como propietarios del dominio de correo dar indicaciones a los proveedores de correo electrónico (ISP), para actuar en caso de que se detecte un ataque de suplantación o de modificación de correos. De esta forma, aumenta nuestra capacidad de proteger nuestro dominio ante un uso no autorizado o una suplantación de identidad.

Información obtenida de la página oficial del INSTITUTO NACIONAL DE CIBERSEGURIDAD