El compromiso del correo electrónico empresarial (BEC) se refiere a todos los tipos de ataques al correo electrónico que no tienen carga útil. Aunque existen numerosos tipos, hay esencialmente dos mecanismos principales a través de los cuales los atacantes penetran en las organizaciones utilizando técnicas de BEC, la suplantación de identidad y los ataques de toma de posesión de cuentas.
En un estudio reciente, el 71% de las organizaciones reconocieron haber sufrido un ataque de correo electrónico comercial (BEC) durante el año pasado. El 43% de las organizaciones experimentó un incidente de seguridad en los últimos 12 meses, y el 35% declaró que los ataques BEC/phishing representan más del 50% de los incidentes.
El Centro de Denuncias de Delitos en Internet (IC3) del FBI informa que las estafas BEC fueron el más caro de los ciberataques en 2020, con 19.369 denuncias y pérdidas ajustadas de aproximadamente 1.800 millones de dólares. Los ataques BEC recientes incluyen ataques de suplantación de identidad contra la presentadora de Shark Tank, Barbara Corcoran, que perdió 380.000 dólares; los ataques del gobierno de Puerto Rico que ascendieron a 4 millones de dólares, y el gigante japonés de los medios de comunicación, Nikkei, que transfirió 29 millones de dólares basándose en las instrucciones de un correo electrónico fraudulento.
Para frustrar un ataque BEC, una organización debe centrarse en el Triángulo de Oro: la alineación de personas, procesos y tecnología. Siga leyendo para descubrir las mejores prácticas que toda organización debe seguir para mitigar los ataques BEC.
Proceso
El departamento financiero de toda organización tiene una política de autorización de gastos. Esta política establece niveles de aprobación claros para cualquier gasto/pago con el fin de salvaguardar los activos de la empresa.
Aunque todos los gastos/pagos deben formar parte de un presupuesto aprobado, esta política proporciona una herramienta para que el departamento financiero se asegure de que cada pago sea autorizado por la persona o personas adecuadas en función del importe.
En algunos casos, al director general o al presidente de una empresa se le concede una autoridad ilimitada a la hora de solicitar pagos. Los ciberdelincuentes se dan cuenta de ello, y por eso suplantan las cuentas de correo electrónico de las personas de alto nivel.
Teniendo en cuenta el panorama actual de la ciberseguridad, el departamento financiero debería reevaluar esta política para establecer procesos más estrictos. Esto puede significar que se requieran múltiples autorizaciones para los gastos importantes pagados mediante cheque, transferencia bancaria o cualquier otro canal para garantizar que la solicitud de pago es legítima. También puede especificar cómo se obtienen las autorizaciones electrónicas.
Por ejemplo, si alguien del departamento de finanzas recibe un correo electrónico del director general solicitando una transferencia bancaria, el administrador que procesa la solicitud debe seguir la política de la empresa para obtener aprobaciones adicionales, incluido el envío de correos electrónicos a una lista de distribución preaprobada para obtener aprobaciones electrónicas junto con confirmaciones por teléfono. Los importes de los gastos dictan quién puede firmar y cofirmar y se basarían en el apetito de riesgo de su organización, es decir, cuánto está dispuesta a perder su empresa.
Como miembro del equipo de TI, debe hablar con el departamento de finanzas para explicar cómo se producen los ataques BEC y otros ataques de suplantación de identidad. Proporcione ejemplos reales de ataques BEC recientes y haga una lluvia de ideas sobre lo que su empresa haría de manera diferente para frustrar el ataque. Basándose en estos ejemplos, el departamento de finanzas debería reevaluar la política actual teniendo en cuenta la suplantación de identidad y el BEC. Esto puede significar que el presidente del consejo de administración, el director general o el presidente de la empresa no pueden ser la única firma en los gastos importantes, la cantidad de dólares se basa, de nuevo, en el apetito de riesgo de su empresa.
Ahora que el proceso está establecido dentro de la política de autorización de gastos, la empresa debe asegurarse de que su personal está capacitado para seguir la política, sin excepción.
Personas
Todos los empleados de la empresa deben recibir formación para saber cómo es un ataque de ciberseguridad, qué hacer y qué no hacer, y esta formación debe impartirse de forma continua, ya que el panorama de la ciberseguridad cambia muy rápidamente.
Los empleados del departamento de finanzas -o cualquiera que esté autorizado a desembolsar fondos de cualquier forma- deben recibir formación sobre el aspecto de los ataques BEC y otros ataques de suplantación de identidad.
Haga hincapié en que muchos de estos ataques adoptan la forma de correos electrónicos de ejecutivos de alto nivel, suelen ser solicitudes «urgentes» y, a veces, la solicitud se envía minutos antes del cierre de la empresa y requiere un pago inmediato. Con esta formación, más el requisito de que todos los empleados sigan la política de autorización de gastos, su empresa debería ser capaz de detener los ataques BEC.
Muchas empresas contratan un seguro para cubrir estas pérdidas por BEC, pero ninguna organización puede estar segura de que la compañía pagará. Por ejemplo, la empresa de comercio Virtu Financial Inc. perdió 6,9 millones de dólares en una estafa BEC, pero su aseguradora, Axis Insurance, se ha negado a pagar alegando que «el acceso no autorizado al sistema informático de Virtu no fue la causa directa de la pérdida, sino que la pérdida fue causada por actos separados e intervinientes de los empleados de Virtu que emitieron las transferencias electrónicas porque creyeron que el correo electrónico «falsificado» que pedía la transferencia de los fondos era verdadero». Virtu Financial Inc. ha presentado una demanda contra Axis Insurance por presunto incumplimiento del contrato al negarse a dar cobertura al ciberataque.
Tecnología
La tecnología de ciberseguridad avanzada de última generación puede ayudar a bloquear cualquier amenaza de correo electrónico, incluido el spam, el phishing, los ataques BEC y de seguimiento, las amenazas persistentes avanzadas (APT) y las vulnerabilidades de ataque de día cero, todo ello antes de que la amenaza llegue a los usuarios finales.
Reflexiones finales
La competencia de estos ataques es la razón por la que las empresas y los proveedores de servicios gestionados (MSP) eligen utilizar las soluciones de Acronis Cyber Protection. Con una combinación única de inteligencia de máquina (MI), automatización e integración, esta solución de ciberprotección todo en uno está diseñada para ayudar a reducir el riesgo empresarial y mejorar la productividad, independientemente de cómo se produzca la pérdida de datos.