BEC: pesadilla de pequeñas y grandes empresas

Business Email Compromise, comúnmente conocido por sus siglas: los ataques BEC, son, desde hace años, tres letras que provocan dolores de cabeza tanto a pequeñas como grandes empresas y es que, aunque este tipo de ataque no es nada nuevo, cada vez es más utilizado por los ciberdelincuentes para su beneficio.

Ya en 2019 investigadores de Unit 42, el grupo de expertos en seguridad de Palo Alto Networks, publicaron una investigación sobre este tipo de ataques en la que advertían de la proliferación de esta técnica y cómo las empresas seguían cayendo en la trampa. Tanto es así que el FBI, en la misma época, anunció que los ataques BEC generaban pérdidas que alcanzaban los 1.870 millones de dólares.

En general, las víctimas de este tipo de estafas no admiten públicamente haber sido afectadas para evitar daños de reputación, lo que significa que los ataques que comprometen el correo electrónico no ocupan tantas portadas ni atraen tanta atención como otras amenazas cibernéticas como el ransomware o los ataques dirigidos a la cadena de suministro.

Sin embargo, tal y como apunta el último informe compartido por Barracuda Networks, Threat Spotlight Ransomware, en los últimos 12 meses, esta técnica es la más utilizada por los cibercriminales para dañar a la empresa. Seguida del ransomware, la infección mediante malware, las amenazas internas, el robo de identidad y la fuga de datos, por ese orden.

A pesar de las alarmantes cifras de este estudio llevan años siendo públicas, en España, la Guardia Civil ha alertado este mismo año sobre estas prácticas que, aseguran, se están cebando con las pymes. Ejemplo de ello es lo ocurrido a principios de año, dentro de la denominada operación Firewood, a través de la cual se detuvo en Málaga a ocho personas acusadas de formar parte de una organización cibercriminal que perpetraba este tipo de ataques. Poco después, otra operación policial desarticuló una organización criminal internacional que había estafado más de cuatro millones de euros a empresas. Se ha detenido a 64 personas, que operaban desde distintas ubicaciones: 28 en Palma, 3 en Ibiza, 4 en Madrid, 17 en Valencia, 5 en Segovia, 2 en Aranda del Duero, 1 en San Sebastián , 2 en Zaragoza y 2 en Tenerife. 

BEC: “Sólo les pasa a otros”

Muchas empresas creen que ya han tomado todas las precauciones para protegerse de los ataques que comprometen el correo electrónico ya que es un vector de ataque que lleva años en cabeza de todos. Sin embargo, es posible que no se hayan implementado adecuadamente y, por tanto, la empresa esté en riesgo. De hecho, las investigaciones apuntan a que, en la mayoría de los casos, las empresas que caen en esta trampa no tenían MFA habilitado o instalado correctamente. Y todo ello a pesar de que los principales proveedores de correo electrónico, incluidos Office 365 y Exchange de Microsoft o Google Workspace, ofrecen múltiples opciones de implementación precisamente con miras a proteger a las compañías frente a este tipo de ataques.

Los ataques BEC son una forma de ingeniería social altamente efectiva que explota la confianza y la autoridad en las organizaciones. De hecho, tal y como señala José Rosell, director general de S2 Grupo: "La sofisticación de los ciberataques BEC es alarmante. Los atacantes pueden pasar meses investigando a la organización y sus empleados para crear mensajes convincentes”.

Esta técnica, como muchas otras, ha evolucionado hasta pasar casi desapercibida a los ojos del ser humano por lo que aprovechar el avance de las tecnologías de protección en este ámbito se hace cada vez más necesario. Sobre todo, si tenemos en cuenta que, tal y como os contábamos en abril, los ataques BEC suponen unas pérdidas casi 80 veces mayores que las del ransomware.

"La detección temprana de los ataques BEC es esencial. Las empresas deben implementar medidas de seguridad avanzadas y sistemas de verificación de transacciones para protegerse", apunta Sonia Martínez, directora de Ciberseguridad de Everis Spain.