Ataques BEC, ¿sabes lo que son?

También puedes leer... Todo sobre Spectre y Meltdown SecOps a examen Los mitos de las Brechas de Seguridad La creación de un SOC Cómo sobrevivir a un ataque BEC

Hace unos meses el FBI lanzó un comunicado advirtiendo de la peligrosidad de los ataques BEC, o Business Email Compromise. Y también de lo que les está costando a las empresas, nada menos que más de cinco mil millones de dólares.

Este tema se publicó en el número de febrero de la revista IT Digital Securiy, cuyo tema de portada se centró en las vulnerabilidades de Spectre y Meltdown, que puedes descargarte desde este enlace.

También conocidos como el Fraude al CEO, este tipo de ataques continuarán creciendo (lo han hecho un 1.300% desde 2015), evolucionando y dirigiéndose contra empresas de todos los tamaños.

Un BEC es un tipo de ataque contra altos directivos que tiene como objetivo secuestrar y controlar cuentas empresariales reales que los ciberdelincuentes pueden utilizar para interceptar o redireccionar las transacciones financieras. A diferencia de los ataques de phishing tradicionales, los BEC son dirigidos, diseñados para cada víctima. La mayoría de las ocasiones los ciberdelincuentes estudian las últimas noticias de las empresas e investigan las redes sociales de los empleados para hacer que el ataque, el señuelo, sea lo más convincente posible. Este nivel de personalización es lo que ayuda a que este tipo de estafas por correo electrónico superen los filtros de spam y otras protecciones.

Además de conseguir grandes sumas de dinero, muchos grupos de cibercriminales utilizan este método de ataque para obtener información confidencial de la empresa llevando a cabo ataques muy sigilosos y extrayendo información sensible que puede acarrear a la organización serios problemas, no solo económicos sino también de reputación. 

Se calcula que ataques BEC superen los 9.000 millones de dólares en 2018, según un estudio de Trend Micro. Una cifra que está cerca de duplicar los 5.300 millones de dólares que según el FBI habían costado a las empresas este tipo de ataques hace un año. Decía entonces el FBI que los ataques BEC crecen porque “son relativamente simples”.

¿Por qué son tan peligrosos los ataques BEC?

“Son peligrosos porque utilizan ingeniería social para conseguir su propósito. Son dañinos porque el impacto no sólo es económico, sino que puede tener implicaciones en la situación laboral de las/los implicadas/os y eso, sin duda, es terrible. Además, tienen un enfoque de poner en duda la capacidad corporativa de proteger la infraestructura propia, de enmascararse el ataque utilizando componentes de la entidad que, por supuesto, ponen en jaque la robustez y solidez de las estrategias de protección y defensa. La pérdida de reputación e imagen pública (no sólo externa sino interna) es notable, perdiendo la credibilidad en los sistemas corporativos”, asegura Ramsés Gallego, Strategist & Evangelist en la oficina del CTO en Symantec.

Para Eutimio Fernández, Director de ciberseguridad en cisco España, a pesar de la mayor popularidad de los ataques de ransomware, “la amenaza BEC (Business Email Compromise) es actualmente -según Flashpoint, partner de inteligencia de seguridad de Cisco- el método más lucrativo y rentable para obtener mediante fraude grandes cantidades de dinero de los negocios”, y añade el directivo que se trata de un vector de ataque realmente sencillo que se basa en la ingeniería social para llevar a cabo el robo, que es otra de las razones por las que este tipo de ataques se han vuelto extremadamente peligrosos.

Esto es precisamente lo que destaca José Luis Laguna, Director Técnico Fortinet Iberia, al asegura que realizar estafas a través del correo electrónico corporativo “es bastante sencillo y económico para los atacantes”. Asegura el directivo que al ser un negocio tan rentable anima a todo tipo de ciberdelincuentes a continuar con su actividad maliciosa, y que en en la mayoría de los casos, “los ataques son tan sofisticados que el engaño se descubre cuando ya es demasiado tarde”. Organizaciones de cualquier tamaño son objetivo de un ataque BEC, dice también el CTO de Fortinet Iberia.

Alfonso Ramírez, director general de Kaspersky para España y Portugal, explica sobre los ataques BEC que comienzan con el envío de un correo electrónico de phishing, muy elaborado, que parece llegar del directivo de la empresa y en el que se solicita a un empleado realizar una transferencia o movimiento bancario a una cuenta controlada por los ciberdelincuentes. “Las víctimas también pueden ser empresas que creen recibir un correo electrónico de su cliente. De esta forma, tanto los empleados de la compañía en la que la identidad del CEO ha sido suplantada como la compañía cliente que realiza la transacción, son víctimas de este nuevo fraude”.

Normalmente, los ataques BEC “están relacionados con objetivos económicos (el caso más habitual es solicitar a alguien del departamento financiero una transferencia de dinero muy urgente) y su impacto es muy alto, pues puede suponer no sólo un coste económico alto para la compañía, sino que también afectar a su reputación”, añade José de la Cruz, director técnico de Trend Micro.

Lo que, en definitiva, persigue un ataque BEC es el “lucro mediante fraude”, dice Eutimio Fernández. Y, al tratarse de un fraude altamente lucrativo, probablemente seguirá creciendo como vector de amenaza, tanto en grandes cuentas como en pequeñas empresas.

Siendo tan peligrosos, ¿por qué no reciben tanta atención como otros tipos de ataques? Para José de la Cruz, hay que destacar que suelen tratarse de ataques dirigidos; “esto supone que el número de ataques sea inferior a cualquier ataque masivo (ej.: ransomware). Asimismo, las empresas afectadas no suelen hacer público el ataque y sus detalles”. De la misma opinión es Eutimio Fernández al asegurar que “se trata de un fraude -principalmente basado en ingeniería social- que a ninguna empresa le gusta reconocer, y por tanto no se conoce exactamente su alcance”. Para José Luis Laguna, de Fortinet, “posiblemente las organizaciones no estén dando publicidad cuando son atacadas de este modo para que no afecte a su reputación corporativa”, lo que hace que este tipo de ataques sea menos conocido.

Ramsés Gallego habla de visibilidad y mecanismos de protección. Siendo tan costosos, ¿por qué los ataques BEC recibe mucha menos atención que otros tipos de ataques? “Por dos motivos fundamentales: no gozan de visibilidad pública y, por ello, conocemos muchos menos de lo que realmente ocurren (las estadísticas, en consecuencia, no reflejan la realidad de los muchos que ocurren) y, por otra parte, las compañías no disponen de los mecanismos de detección de ese ataque que requiere de diversos controles/contramedidas para la identificación, detección y bloqueo del ataque”.

¿Cómo se producen los ataques BEC?

Para poder llevar a cabo este tipo de ataques los ciberdelincuentes utilizan software malicioso para robar credenciales de correo electrónico, analizan el contenido de los correos electrónicos comprometidos y luego usan la información recopilada para, a través de técnicas de ingeniería social, sustraer el dinero de las víctimas. “Para evitar la detección del malware que utilizan para robar las credenciales, emplean herramientas llamadas Crypters que les permiten ocultar los binarios malware. También utilizan VPN para falsear sus IPs de origen y parecer que se encuentran en la red del cliente”, explica el director técnico de Fortinet.

Ramsés Gallego, de Symantec, habla de ataque híbrido y asegura que tras conseguir las credenciales de acceso al correo corporativo, a la agenda de direcciones, a la estructura de los correos internos, es relativamente sencillo enviar un mensaje con la apariencia de una/un ejecutiva/o hacia alguien en su departamento “para realizar una transacción financiera 'que no se puede realizar de otra manera', 'que es crítico que se haga en este momento' o con cualquier otro sentimiento de urgencia y necesidad”. Merece destacarse que el 66% de los títulos de estos mensajes -según los laboratorios de investigación en Symantec- contienen las palabras 'Petición', 'Pago, 'Urgente'... Además, una vez se tiene acceso a la plataforma de colaboración que supone el correo corporativo, se puede tener acceso a correos con facturas para pagar... en las que se puede modificar el IBAN para direccionar el pago hacia los intereses de los atacantes (y eso suele pasar altamente inadvertido). Asegura también el Strategist & Evangelist en la oficina del CTO en Symantec que se pueden generar correos que aparentan venir de una dirección conocida ya que es tremendamente sencillo modificar una letra 'L' minúscula por una 'i' mayúscula ya que en según qué tipos de letra es indistinguible; “eso permite generar dominios de Internet que pueden parecer de una compañía conocida cuando, en realidad, no lo es, sino que está creada por los atacantes para engañar”.

Para José de la Cruz, un ataque BEC se divide en cuatro fases: Selección de un objetivo, Adquisición de la inteligencia, Ejecución y Conclusión. La garantía del éxito a menudo viene determinada por identificar un objetivo que proporcione una alta probabilidad de éxito; “normalmente una compañía internacional con una gran dispersión geográfica de sus empleados”. En cuanto a la adquisición de inteligencia habla el CTO de Trend Micro de dos actores principales, por un lado, el usuario suplantado y por otro lado la víctima; “en esta fase se investiga el objetivo obteniendo información pública para identificar al usuario comprometido y victimas a atacar dentro de dicha compañía. Adicionalmente se trata de buscar el método más adecuado: suplantar la identidad del objetivo mediante phising o comprometer una cuenta corporativa a través de un servicio público.

Alfonso Ramírez, de Kaspersky, señala que, aunque altos cargos y empleados suelen ser las víctimas, también “las empresas proveedoras o clientes de una organización pueden ser objeto de ingeniería social”.

En cuanto a Eutimio Fernández, asegura que, en su forma más básica, una campaña BEC implica el envío de un correo electrónico (a veces usando spoofing para aparecer como si fuera de un compañero/jefe de trabajo) a los empleados de Finanzas que pueden realizar transferencias bancarias online.

Evolución de los ataques BEC

Como ocurre con casi todo, sobre todo si se trata de ciberamenazas, los ataques BEC ha evolucionado, y su evolución, dice José de la Cruz, “radica en la sofisticación de la solicitud enviada a la víctima: mejorando técnicas de phising, utilizando formatos corporativos, aprovechando vulnerabilidades en sistemas, utilizando malware para robo de credenciales, etc.”.

Recuerda Jose Luis Laguna, Director Técnico Fortinet Iberia, que los ataques BEC existen desde hace tiempo en diferentes formas. Históricamente hemos visto la misma táctica utilizada contra empresas, usuarios de comercio electrónico y directores ejecutivos de empresas, entre otros. “Los atacantes perfeccionan constantemente sus técnicas y sus herramientas, pero además se asesoran con abogados, cuentan con servicios de traducción, con hackers, con expertos en ingeniería social, etc.”, dice el directivo.

Si tomamos la evolución desde el punto de vista de costes, los informes del Internet Crime Complaint Center (IC3) -colaborador del FBI de EE.UU., del Departamento de Justicia de EE.UU., y del National White Collar Crime Center de EE.UU.- recogidos en el Informe Semestral de Seguridad 2017 de Cisco, “el fraude BEC generó unos beneficios a los ciberdelincuentes de 5.300 millones de dólares entre octubre de 2013 y diciembre de 2016, lo que implica una media de 1.700 millones de dólares anuales”, dice Eutimio Fernández. En comparación, los ataques de ransomware generaron unos mil millones de dólares en 2016.

Los ataques BEC “han evolucionado de manera exponencial”, dice Ramsés Gallego. Según datos de Symantec, este tipo de ataques han impactado a 8.000 entidades cada mes a nivel mundial y han supuesto un impacto económico de más de 4.084 millones de Euros entre Octubre de 2013 y Diciembre de 2016. “Dado que hay clara actividad criminal detrás por el beneficio económico evidente, es un ataque que continuará ocurriendo, lamentablemente”, dice Ramsés Gallego.

Cómo evitar ser víctima de un ataque BEC

Formación y concienciación es uno de elementos clave para evitar un ataque BEC, algo que en realidad sirve para casi todas las ciberamenazas que llegan a través del correo electrónico.

El director técnico de Fortinet habla además de pasarelas de correo electrónico, sistemas de prevención de intrusiones y productos antivirus como elementos que ayudan a evitar que el malware comprometa nuestro correo electrónico, así como la implementación de sistemas de autenticación fuerte para el acceso al correo electrónico.

Precisamente por eso José de la Cruz establece el correo electrónico como el elemento “donde deberemos dedicar la mayoría de nuestros esfuerzos”. Entre las recomendaciones que propone el director técnico de Trend Micro destaca la implementación de mecanismos de verificación de identidad para el correo, así como se sistemas de ciberseguridad que protejan contra el spam o las vulnerabilidades, el refuerzo de las políticas de seguridad para las contraseñas y, porque “en cualquier ataque, hay que tener en cuenta el factor humano, es importante concienciar al usuario final sobre el peligro que supone este tipo de ataques”.

Desde Kaspersky Lab recomiendan implementar una serie de medidas de seguridad capaces de proteger contra ataques BEC, como es la formación de los empleados en materia de seguridad; evitar hacer clic en enlaces o abrir documentos que parezcan sospechosos y comprobar el origen de los correos electrónicos; cambiar las contraseñas de todas las cuentas utilizadas en caso de que el sistema haya sido afectado; revisar siempre las solicitudes para cambiar los detalles de la cuenta bancaria o los métodos de pago durante las transacciones; instalar una solución de seguridad en todas las estaciones de trabajo y servidores donde sea posible y siempre implementar todas las actualizaciones.

Eutimio Fernández razona que, ya que los mensajes BEC no contienen malware o enlaces sospechosos, por lo general pueden superar la gran mayoría de herramientas de defensa frente a amenazas. “De hecho, las víctimas suelen ser grandes empresas con sólidas medidas de seguridad”, dice el responsable de ciberseguridad de Cisco. Dice también el directivo que la lucha contra el fraude BEC generalmente requiere mejoras en los procesos de negocio y en la educación de los trabajadores, formando a los empleados para identificar solicitudes fuera de lo común, como una transferencia fuera del país en una empresa que opera a nivel nacional. Las organizaciones pueden también requerir que los empleados verifiquen las transferencias electrónicas con otros empleados -quizá por teléfono- para eludir un posible email falso.

Tipos de ataques BEC

Una vez que un ciberdelincuente ha accedido al correo electrónico de un ejecutivo, una estafa de BEC usualmente toma una de las cinco formas básicas:

Fraude del CEO. Los ciberdelincuentes envían un email que parece proceder del máximo responsable de la empresa a un empleado que tenga capacidad para realizar transferencias, dándole instrucciones para que envíe fondos a una cuenta que, evidentemente, está bajo el control de los ciberdelincuentes. Es habitual que este tipo de ataques incluyan una nota en la que se advierte que la transferencia es urgente, lo que evita que el empleado tenga tiempo de verificar la orden.

Estafa de factura falsa. El ciberdelincuente bucea en la cuenta de correo de un ejecutivo hasta dar con una factura que venza pronto para después contactar con el departamento financiero y pedirles que cambien la cuenta de pago por una diferente.

Suplantación del Abogado. El ciberdelincuente se hace pasar por el bufete de abogados de una empresa y solicita una transferencia de fondos para resolver un litigio o pagar una factura vencida. Es habitual que el cibercriminal utilice este tipo de ataque para convencer a los destinatarios de que la transferencia es confidencial y sensible al tiempo, por lo que es menos probable que el empleado intente confirmar que debe hacer el envío de dinero.

Compromiso de cuenta. Similar a la estafa de la factura falsa, este tipo de ataque supone que un cibercriminal hackee la cuenta de un empleado para enviar correos a los clientes en los que se les avisa de que hubo un problema con sus pagos y necesitan reenviarlos a una cuenta diferente. Este tipo de ataques son más habituales en empresas pequeñas.

Robo de datos. La única versión de la estafa de BEC cuyo objetivo no es una transferencia de fondos directa, son los ataques que buscan el robo de datos mediante el compromiso de la cuenta de correo electrónico de un ejecutivo para solicitar que se le envíe información confidencial. A menudo estos ataques se utilizan como el punto de partida para un ciberataque más grande y dañino.