Business Email Compromise, el ataque que temen todas las organizaciones

Desde que en 2013 el FBI comenzó a hacer un seguimiento de esta amenaza, a la que bautizó como Business Email Compromise (BEC), son más de cien los países en los que se ha detectado y las pérdidas ocasionadas contabilizadas en miles de millones de dólares.

También puedes leer... Informe global sobre Seguridad de la Información 2016-2017 Evolución de los ataques con exploits GDPR: todas sus claves Riesgos de IoT en las empresas Desarrollo de estrategias de ciberseguridad nacional

En su base, los ataques BEC se basan en el truco más antiguo en el manual de la estafa: el engaño. Es su nivel de sofisticación lo que le convierte en un fraude sin precedentes. Un BEC (Business Email Compromise) es un tipo de ataque de phishing en el que los ciberdelincuentes suplantan responsables de alto nivel de las empresas, para que los empleados, clientes o vendedores transfieran fondos o información sensible.

A diferencia de los ataques de phishing tradicionales, que son de escala masiva y pretenden llegar al máximo de personas posibles, los BEC son ataques dirigidos. Antes de lanzarlos, los ciberdelincuentes estudiarán los objetivos, las noticias relacionadas con las empresas, a los empleados y sus cuentas en redes sociales. Esta información permite que el correo de phishing no sea detenido por un filtro de spam, y que sea mucho más difícil para los empleados reconocer el correo como no legítimo.

BEC vs BPC

El hecho de que a veces se confunda un ataque Business Process Compromise (BPE) con un Business Email Compromise (BEC) ha llevado a algunas compañías, entre ellas Trend Micro, a poner un poco de orden en el asunto.

Inicia la explicación la firma de seguridad recordando el ataque sufrido en 2015 por un banco ecuatoriano que terminó perdiendo nada menos de doce millones de dólares después de que los ciberdelincuentes obtuvieran los códigos utilizados para transferir fondos a través de las redes financieras SWIFT. Uno año después le ocurría algo similar a al Bangladesh Central Bank, con pérdidas de 81 millones de dólares; y en 2016 le tocó el turno a un banco de Vietnam con costes de alcanzaron los 1.130 millones de dólares.

A este tipo de ataques se refiere Trend Micro somo Business Process Compromise (BPC) porque se basan en alterar procesos y sistemas críticos, que continúan funcionando pero de manera no autorizada.

En realidad un BPC y un BEC tienen el mismo objetivo, financiero, pero parece que sus similitudes acaban ahí. Y es que mientras que un BEC tiene una fuerte base de técnicas de ingeniería social para provocar que las víctimas transfieran fondos o información, BPC es un ataque más complejo que implica modificar procesos para generar un resultado diferente.

Claro que ahora el asunto está en diferencia un BCP de un ataque dirigido. Dice Trend Micro que la línea que los diferencia es muy fina: ambos utilizan las mismas herramientas, técnicas y componentes para infiltrarse en las redes sin ser detectados; y ambos permanecen en las redes sin ser detectados por un periodo indefinido. La diferencia es que el objetivo de un ataque dirigido es la propiedad intelectual o secretos comerciales para propósitos de espionaje o de sabotaje. Sin embargo, los ciberdelincuentes que están detrás de BPC buscan una ganancia económica.