El Business Email Compromise, también conocido por sus siglas como BEC, es una metodología de ataque que se focaliza en comprometer cuentas de correo electrónico corporativas de una organización objetivo.
Se trata de una práctica delictiva que afecta a cualquier tipo de empresa, independientemente de si su etiología es pública o privada, o de la envergadura de esta. También resulta indiferente el sector al que se dedique una determinada compañía, ya que todas ellas tienen un valor intrínseco.
En algunos casos el valor de acceso a los buzones de correo electrónico corporativos, es la propia información comercial o financiera que estos albergan o manejan a diario. En otros casos los atacantes tratan de persuadir a la víctima para que revele información de interés, o proceso el pago de determinadas solicitudes. Este tipo de casuísticas son las menos graves, ya que la víctima rápidamente se percata de que hay un intruso en el sistema. Esto permite alertar al Departamento de IT o al de Ciberseguridad para poner una remediación al problema.
Diferente caso es, aquellas cuentas de correo electrónico empresariales que se emplean por atacantes más avanzados o con mayores expectativas. Estamos hablando de cibercriminales que permanecen silenciosamente monitorizando el tráfico de mail de la cuenta objetivo, observando procedimientos y líneas de negocio de la compañía. En estos casos, toman buena cuenta de otros empleados de la organización con mayor nivel de privilegio dentro de la empresa, y tratan de acceder a estos.
Un método de acceso es el pivotar desde la cuenta de correo inicialmente comprometida, hacia la de contactos habituales de esta. Entran en juego técnicas de ingeniería social combinadas en múltiples ocasiones con enlaces de spear-phishing o código dañino (malware).
Ejemplo de ello es el envío de adjuntos con macros dañinas, o enlaces a servicios de cambio de credenciales de acceso de servicios de la organización.
Según informes del FBI norteamericano, las pérdidas por ataques de Business Email Compromise son mayores a los 1.700 millones de dólares.
En el marco de la operativa habitual de DarkData, detectamos múltiples brechas de seguridad en compañías de todo el mundo; ya que los espacios underground que monitoriza nuestro equipo de Ciberinteligencia acceder a información que afecta a compra-venta de accesos a diversas organizaciones.
Desde DarkData se comunica al instante este tipo de información a las empresas afectadas, y a los CSIRT nacionales de referencia; en un marco de actuación de buenas prácticas dentro del sector de la ciberseguridad.
Durante el último trimestre del año 2022, DarkData ha notificado más de 300 cuentas de empresa comprometidas. Se trataba de cuentas atacadas de forma específica por atacantes desconocidos, y no involucradas en brechas de seguridad de terceros.
La prevención y sobre todo la concienciación de los usuarios es la mejor arma para luchar contra este tipo de cibrecriminalidad. Las Simulaciones de Ataque de Ingeniería Social son en buena medida el examen que toda organización empresarial debe de realizar para conocer el estado de concienciación de sus empleados.
Por último, debemos dejar atrás autenticaciones empresariales que no supongan un doble o triple factor de autenticación.