Vulneración de correo electrónico empresarial 101: definición, técnicas, tipos y precauciones contra él

por | enero 25, 2022 | Ciberseguridad, Cómo hacerlo

La vulneración del correo electrónico empresarial (BEC) es una forma de phishing en la que el atacante suplanta a alguien de una red corporativa para engañar al objetivo con el fin de que envíe dinero a la cuenta del atacante. Los estafadores de BEC suelen atacar a las empresas que utilizan transferencias bancarias para pagar a clientes internacionales.

En este artículo, cubrimos los aspectos básicos de BEC y le damos algunos consejos sobre cómo proteger su empresa de este desagradable fraude.

La vulneración del correo electrónico empresarial es una forma específica de phishing.

¿Qué es la vulneración del correo electrónico empresarial?

El BEC es un ataque en el que un intruso obtiene ilícitamente el acceso a una cuenta de correo electrónico de una empresa y suplanta la identidad del propietario legítimo con el fin de engañar a la empresa y a sus empleados, clientes o socios, para que transfieran dinero a la cuenta del intruso. Por lo general, el atacante falsifica una dirección de correo electrónico en una red corporativa y se basa en la confianza entre el destinatario y el remitente. Por ello, el BEC se conoce a veces como un ataque «man-in-the-middle».

En la mayoría de los casos, los estafadores se centran en los empleados con acceso a las finanzas de la empresa e intentan engañarlos para que transfieran dinero a una cuenta bancaria controlada por el atacante.

Técnicas de vulneración del correo electrónico empresarial

  • Suplantación de cuentas de correo electrónico y sitios web: los atacantes modifican ligeramente las direcciones legítimas para que las víctimas crean que las cuentas falsas son auténticas.
  • Spear-phishing: ataques de phishing dirigidos y muy documentados
  • Malware: programas o archivos diseñados para causar daño intencionadamente o para explotar dispositivos, redes o servicios. Los atacantes lo utilizan para delitos como el robo de datos sensibles, la monitorización de la actividad de los usuarios, el deterioro o la eliminación de información de un dispositivo.

Tipos de vulneración del correo electrónico empresarial

Normalmente, los mensajes maliciosos utilizados en BEC se ajustan a un patrón. El FBI define los siguientes cinco tipos principales de fraudes BEC:

  • El fraude de facturas falsas: los estafadores suelen utilizar esta estrategia cuando se dirigen a empresas con proveedores extranjeros. Sustituyen a los proveedores y solicitan transferencias de fondos para los pagos.
  • Suplantación de abogados: los atacantes se presentan como un abogado u otro representante del bufete de abogados responsable de asuntos delicados. Este tipo de estafa se lleva a cabo a través del correo electrónico o del teléfono, especialmente hacia el final de la jornada laboral. Los objetivos preferidos son los empleados de nivel menor, sin conocimientos ni autoridad para dudar de la legitimidad del mensaje.
  • El fraude del CEO: los ciberdelincuentes se hacen pasar por el director general de la empresa u otros ejecutivos y exigen a los empleados, normalmente de los departamentos de recursos humanos o de contabilidad, que envíen una transferencia bancaria, actualicen los datos de la cuenta o proporcionen información sobre la misma.
  • Cuenta vulnerada – Los atacantes hackean la cuenta de un ejecutivo o empleado y la utilizan para solicitar el pago de facturas a los proveedores de su lista de contactos de correo electrónico. Los fondos se transfieren a cuentas bancarias ilícitas.
  • Robo de datos – Se refiere a cuando los piratas informáticos roban la información personal de la víctima, como el número de la Seguridad Social, y la utilizan para crear cuentas, solicitar créditos, obtener servicios médicos, realizar una compra o cometer cualquier otro fraude en su nombre. Los trabajadores de recursos humanos y de contabilidad son el blanco para obtener datos valiosos que pueden ser utilizados en futuros ataques.

Medidas de seguridad para combatir la vulneración del correo electrónico empresarial

Para prevenir los ataques, usted no puede olvidar aplicar las siguientes prácticas de seguridad en su empresa:

  • Las normas de correo electrónico: marcan los correos electrónicos en los que la dirección de correo electrónico de «respuesta» difiere de la dirección visible de «origen».
  • Código de colores: utilice diferentes colores para las cuentas internas y externas.
  • Los sistemas de detección de intrusos: marcan los mensajes de correo electrónico con extensiones que se confunden con el correo electrónico de la empresa. Por ejemplo, si la dirección de correo electrónico real es [email protected], se detectaría el correo electrónico fraudulento [email protected]
  • La verificación de los pagos: es muy aconsejable al menos la autenticación de dos factores (MFA).
  • Las solicitudes de confirmación – para las transferencias con verificación telefónica como parte de un esquema MFA. Además, las confirmaciones pueden solicitar los números del directorio de la empresa en lugar de los números proporcionados en un correo electrónico.
  • La vigilancia: sus empleados deben ser cautelosos con todas las solicitudes de transferencia de fondos por correo electrónico para asegurarse que son legítimas antes de emprender cualquier acción.
  • Formación para la concienciación en materia de seguridad: formar a sus empleados en materia de BEC mediante simulacros de phishing continuos y realistas le ayudará a luchar contra los ataques. Esta es la medida más importante y asequible que puede tomar para prevenir todo tipo de estafas, especialmente las basadas en el phishing.

¿Por qué ATTACK Simulator?

Sabemos que hay muchas opciones. Pero no busque más, ya que ATTACK Simulator ofrece una solución de formación de concienciación de seguridad asequible y personalizable para todas las empresas, independientemente de su tamaño.

Vamos a profundizar en ello y a explicar por qué ATTACK Simulator es el camino a seguir:

  • Ofrecemos cursos de concienciación en materia de seguridad para empresas de todos los tamaños: la importancia que damos a la mejora de la vigilancia de los empleados en materia de ciberseguridad es la misma.
  • Nuestro método de formación cuenta con una función automatizada, que requiere poca o ninguna intervención manual. Al fin y al cabo, el tiempo es dinero, y no queremos que lo pierda.
  • Ofrecemos un rápido soporte interno directamente de nuestros propios desarrolladores. Nos gusta que nuestros clientes estén contentos y satisfechos.
  • Proporcionamos formación asequible en materia de concienciación sobre la seguridad.
  • La interfaz de nuestro software es fácil de usar, por lo que podrá aprenderla en poco tiempo.

No pierda ni un minuto más contando con la suerte, e invierta ahora en un sólido programa de concienciación sobre ciberseguridad. Obtenga su presupuesto hoy mismo aquí.

Atribución:

Ilustraciones web de Storyset

Ilustraciones Internet de Storyset

Imagen de Tumisu de Pixabay

by Diana Panduru

Content writer for Attack Simulator. Passionate about all things writing and cybersecurity, and obsessed with driving. I sometimes indulge in pencil drawing, poetry, and cooking for fun.

There’s no reason to postpone training your employees

Get a quote based on your organization’s needs and start building a strong cyber security infrastructure today.