En 2020 aumentaron las estafas relacionadas con facturación a proveedores

Recomendados:  2021, ¿el año de la ciberdefensa? Webinar Trabajo seguro desde cualquier lugar: adaptándonos a la "nueva normalidad" Leer Threat Hunting Report 2020: así son las campañas de intrusiones hoy en día Leer

Los ataques BEC fueron una de las estafas más extendidas a lo largo del pasado año. No en vano, Proofpoint bloquea al día más de 15.000 ataques BEC, o lo que es lo mismo, alrededor de cuatro millones de mensajes cada año en los que se vulneran correos electrónicos empresariales.

Existen diversas tácticas con las que los ciberdelincuentes se aproximan a sus víctimas. Uno de los ataques BEC que más beneficios reporta a los defraudadores tiene que ver con supuestas facturas a proveedores. Estas estafas pueden llegar a ser tan convincentes que hasta personas con cierto renombre o experiencia caen en ellas. Así fue en el caso de la empresaria Barbara Corcoran, conocida también por su participación en el programa de telerrealidad estadounidese Shark Tank, que estuvo a punto de perder cerca de 400.000 dólares por unas facturas falsas. Afortunadamente logró recuperar el dinero antes de que los ciberdelincuentes fuesen a cobrarlo, algo que rara vez suele darse en este tipo de ataques.

Las estafas relacionadas con facturación a proveedores siguen unos esquemas un tanto sofisticados y complejos para hacerse con el dinero de las víctimas, ya sea presentando facturas falsas como si fueran legítimas o bien redirigiendo pagos a cuentas bancarias controladas por los ciberdelincuentes. En cuanto a las cantidades económicas en juego en este tipo de ataques BEC, Proofpoint asegura que ha detenido incidentes que habrían reportado cada uno millones de dólares a los ciberdelincuentes en caso de que se hubiesen completado con éxito.

Al contrario que en otros fraudes BEC en los que se envía un correo electrónico a un empleado de una organización, las estafas relacionadas con proveedores se realizan en distintas etapas contra múltiples individuos y organizaciones. Los investigadores de Proofpoint han observado que muchos de estos ataques se originan desde una cuenta legítima que ha sido comprometida. Una vez que se detecta una transacción, el atacante "secuestra" la conversación por email acerca de este movimiento. Al tratarse de un mensaje ya en curso sobre el tema, este tiene mayor credibilidad para la posible víctima.

A partir de este momento, el atacante suele cambiar de táctica y suplanta la cuenta del proveedor, la cual inserta en los campos de respuesta o copia en la conversación de correo electrónico. Esto le permitirá mantener la comunicación con la víctima cuando la cuenta comprometida quede reparada, siguiendo el hilo a través de la cuenta suplantada.

No hay cargas de malware, ni archivos o enlaces maliciosos que inciten a la víctimas a hacer clic en ellos, pero en estos mensajes se entremezcla el engaño, la autoridad y la urgencia, junto con las tácticas de compromiso de cuentas y suplantación de identidad, para hacer que una solicitud falsa de cambio de cuenta bancaria parezca veraz y que la víctima pague el dinero de unas facturas directamente a los ciberdelincuentes.

Es muy difícil, por no decir casi imposible, que los usuarios sepan identificar estos ataques de "secuestro de hilos" o thread hijacking, de ahí que sea particularmente necesario y útil establecer contramedidas de carácter tecnológico.