10 buenas prácticas para evitar los ataques de BEC y el fraude del CEO

por | enero 24, 2022 | Cómo hacerlo, Guías del ATTACK Simulator

En el mundo actual, fuertemente digitalizado, los ataques de BEC y el fraude del CEO pueden resultar en pérdidas masivas, y ninguna empresa está a salvo. Los delincuentes podrían hacer de la suya su próximo objetivo desafortunado.

Pero no se preocupe. Lo tenemos todo controlado con nuestra lista de 10 mejores prácticas para prevenir los ataques de BEC y el fraude del CEO.

¿Qué son los ataques de BEC y el fraude del CEO?

El BEC (business email compromise -compromiso del correo electrónico empresarial) es un ciberataque en el que un hacker obtiene ilícitamente el acceso a una cuenta de correo electrónico empresarial y se hace pasar por el propietario legítimo para engañar a la empresa y a sus empleados, clientes o socios, para que transfieran dinero a la cuenta del estafador.

La estafa del CEO (Chief Executive Officer – Director General) es un tipo de ataque muy similar, pero no se limita a la definición anterior. Por ejemplo, las estafas con tarjetas regalo están asociadas al fraude del CEO, y son prácticamente imposible de rastrear una vez que se han enviado. Sin embargo, estos ataques de phishing no son necesariamente específicos del CEO. Por ejemplo, los ciberdelincuentes podrían suplantar a los directores de recursos humanos. El empleado sospecha aún menos cuando el remitente es alguien inferior en la empresa y más cercano a su rango.

Las 10 mejores prácticas de seguridad contra los ataques de BEC y el fraude del CEO

1. Forme a sus empleados para que sepan detectar estas estrategias comunes de suplantación de identidad

Falsificación de nombres de dominio: este método consiste en que los hackers falsifican el apartado «Mail From» del remitente para que coincida con el dominio del objetivo en el sobre del mensaje, o bien utilizan un nombre de dominio real en el apartado «Mail From» pero utilizan un dominio «Reply-To» falsificado en el encabezado.

Los ataques de BEC y los fraudes de CEO suelen utilizar correos electrónicos falsos.
Ejemplo de un correo electrónico falsificado que simula ser del banco HSBC. Credito: MDaemon Technologies

Tras un rápido examen, el encabezado del correo electrónico revela una dirección de retorno no asociada a la dirección «De». Así, al responder al mensaje, escribirías a [email protected] en lugar de al Banco HSBC.

Crédito: MDaemon Technologies

Falsificación del nombre de la pantalla: es, de lejos, la técnica más común de los BEC. El estafador registra una cuenta de correo electrónico gratuita que suele contener el nombre de un ejecutivo de la empresa. Luego, configuran el nombre mostrado para que coincida con el de su director general u otros ejecutivos y envían correos electrónicos de phishing desde esta dirección. Funciona porque los empleados a menudo sólo se fijan en el nombre mostrado y no comprueban la dirección de correo electrónico real.

Ejemplo de falsificación del nombre de la pantalla. Crédito: MDaemon Technologies

Lookalike Domain Spoofing: este método consiste en registrar dominios falsos con nombres que contienen caracteres de apariencia similar a otros. Los atacantes utilizan entonces estos dominios para enviar correos electrónicos de phishing. Si no se presta suficiente atención, el destinatario pensará que el mensaje procede de un dominio legítimo.

Compromiso del correo electrónico empresarial mediante un dominio parecido. Crédito: MDaemon Technologies

Cuenta de correo electrónico comprometida: este es otro método comúnmente utilizado por los estafadores. Implica el uso de cuentas de correo electrónico legítimas hackeadas para exfiltrar información o robar dinero.

2. Reivindicar el nombre

Es muy recomendable que registre todos los nombres de dominio similares al suyo para evitar los ataques que utilizan la suplantación de dominios.

3. Compartir en exceso NO es cuidar

Sea prudente con lo que publica en las plataformas de las redes sociales, especialmente los títulos de los puestos, los datos de la estructura de la empresa y la información fuera de la oficina.

4. Utilice SPF, DKIM y DMARC

Sender Policy Framework (SPF), DomainKeys Identified Mail (DKIM) y Domain-based Message Authentication, Reporting & Conformance (DMARC) son herramientas de autenticación de correo electrónico y anti-spoofing. Asegúrese de que su dominio tiene registros SPF, DKIM y DMARC válidos y que su servidor/proveedor de correo analiza todo el tráfico entrante con estas herramientas.

5. Habilitar TFA

La TFA (autenticación de dos factores) requiere que el usuario proporcione dos formas de autenticación: una contraseña y un código de verificación, una huella digital u otra forma de verificación.

6. Deshágase de las contraseñas del tipo «123

Implemente políticas relativas a las contraseñas y exija cambios regulares de las mismas en su empresa. Una contraseña fuerte debe:

  • Cumplir con un requisito de longitud mínima.
  • Contener tanto letras como números.
  • Contener tanto las letras minúsculas como mayúsculas.
  • No contener un nombre completo o una fecha de nacimiento.
  • No utilice nunca contraseñas comunes como Password1, Password123, Letmein, etc.

7. Cuidado con lo desconocido

Aunque es bueno salir de tu zona de confort y adentrarte en lo desconocido de vez en cuando, esto no se aplica a cuando recibes correos electrónicos de remitentes desconocidos. No los abra, ni haga clic en los enlaces, ni descargue los archivos adjuntos. En caso de duda, señale el mensaje y comuníquelo al equipo de seguridad informática de la empresa.

8. Establecer normas estrictas para las transferencias electrónicas

Antes de dar curso a una solicitud de transferencia, compruebe minuciosamente la identidad de los proveedores autorizados y la autenticidad de la factura adjunta. Para estar seguro, confirme en persona o por teléfono utilizando los números conocidos previamente o los que pueda encontrar en el sitio web oficial del vendedor.

9. Un antivirus funcionando a diario mantiene alejados a los malos

De acuerdo, no tiene que ejecutar el software antivirus todos los días. Pero asegúrese de ejecutarlo con frecuencia y regularidad y de mantenerlo siempre actualizado.

10. Ofrezca formación sobre seguridad a sus empleados

Aunque las prácticas de seguridad convencionales, como las defensas tecnológicas y los filtros de correo electrónico, pueden ser eficaces, la formación en materia de seguridad de su personal es vital para evitar ser víctima de los ataques de BEC y de los fraudes de los CEO.

Aparte de los fraudes BEC y CEO, hay numerosos tipos de phishing a la espera para aprovecharse del empleado perfectamente desprevenido de su empresa y lanzar un ataque devastador. Cada día se envían más de mil millones de correos electrónicos de phishing, y muchos de ellos eluden los filtros de seguridad. Por lo tanto, debe confiar en que sus empleados estén atentos y detecten las estafas de phishing.

Investigar las últimas tendencias y estrategias de phishing y formar adecuadamente a sus empleados puede ser una tarea complicada, así que déjelo en manos de profesionales.

Estas son algunas de las ventajas para elegir ATTACK Simulator:

  • Simulación automatizada de ataques: simulamos todo tipo de ciberataques.
  • Escenarios realistas: evaluamos la vulnerabilidad de los usuarios a la hora de ceder datos empresariales o personales mediante páginas web realistas.
  • Análisis del comportamiento de los usuarios: recogemos los datos de los usuarios y los recopilamos en extensos informes para ofrecerle una imagen detallada del nivel de concienciación de seguridad de sus empleados.
  • Réplicas de archivos maliciosos: nuestros correos electrónicos contienen repilcas de archivos maliciosos, para que la simulación sea lo más realista posible.
  • Lecciones interactivas: si los empleados no reconocen nuestras trampas y caen en una, descubrirán lecciones sobre las mejores prácticas de seguridad.
  • Suplantación de marcas: nos convertimos en marcas populares para que las simulaciones de phishing sean aún más realistas.

El programa de formación de concienciación sobre la seguridad de ATTACK Simulator le ayudará a equipar a sus empleados con los conocimientos necesarios y las prácticas actuales de seguridad para mantener su empresa a salvo de los estafadores y evitar daños potencialmente irreparables.

Ponga aprueba a sus empleados con nuestra prueba gratuita de formación en materia de seguridad y determine cuál es su posición frente a un ataque de phishing.

Atribución:

Imagen de mohamed Hassan de Pixabay

by Diana Panduru

Content writer for Attack Simulator. Passionate about all things writing and cybersecurity, and obsessed with driving. I sometimes indulge in pencil drawing, poetry, and cooking for fun.

There’s no reason to postpone training your employees

Get a quote based on your organization’s needs and start building a strong cyber security infrastructure today.