La epidemia de las estafas de Business Email Compromise
Recientemente, el FBI dio a conocer una importante operación en el marco de la aplicación de la ley a nivel internacional que, tras seis meses de trabajo, ha dado como resultado la detención de decenas de implicados y la interrupción de varias campañas de Business Email Compromise, BEC, lo que comúnmente se conoce como el “timo del CEO”.
En Trend Micro muestran su agradecimiento por todos los esfuerzos dirigidos a dificultar que los cibercriminales continúen lucrándose con métodos ilícitos, aunque, por más que pese, aún no se puede confiar solo en la aplicación de la ley.
Por eso, las organizaciones también deben ser proactivas a la hora de mejorar la formación y educación de su personal y asegurarse de que adquieren las competencias necesarias en materia de protección del correo electrónico a fin de que puedan detectar y bloquear las estafas BEC.
El FBI golpea de nuevo
La Operación WireWire permitió a la policía de Canadá, Mauricio, Indonesia, Polonia y Malasia unir sus fuerzas para arrestar a 74 sospechosos, 42 de ellos en Estados Unidos. El FBI se alió con el Departamento de Seguridad Nacional, el Departamento del Tesoro y el Servicio de Inspección Postal de Estados Unidos en una operación de seis meses que comenzó en enero. Esto ha supuesto la incautación de casi 2,4 millones de dólares y la "interrupción y recuperación" de otros 14 millones de dólares en transferencias bancarias fraudulentas.
“Es gratificante ver a la policía respondiendo contra un enemigo ágil, sofisticado y con muchos recursos. Cuanto más a menudo las fuerzas y cuerpos de seguridad puedan interrumpir estas campañas y confiscar fondos, más oportunidades tendremos de probar que el crimen se paga”, afirma David Sancho, investigador de amenazas de Trend Micro y responsable del equipo de investigación en Iberia.
Una epidemia llamada BEC
La epidemia del BEC se está extendiendo por todo el mundo, tal como ya hiciera el ransomware con anterioridad. ¿Por qué? Principalmente porque las recompensas potenciales que ofrece son mucho más altas que las que se obtienen con otras amenazas. El FBI, en su informe IC3 de 2017, afirmaba que el BEC generó las mayores pérdidas por encima de cualquier otra categoría de amenaza: más de 676 millones de dólares solo durante el año pasado. Eso es tres veces más que el segundo peligro, la “estafa de la confianza/romance", y mucho más que los 27,9 millones de dólares atribuidos a los ataques de phishing.
Esto podría explicar por qué se empieza a ver que las amenazas de ransomware disminuyen, pero los ataques de tipo BEC se disparan en los últimos meses. Entre 2016 y 2017, las amenazas relacionadas con el ransomware cayeron de los más de 1.000 millones de dólares a 631 millones. Por el contrario, los intentos de fraudes BEC registrados en 2017 aumentaron un 106% de la primera mitad del año a la segunda. Aunque sólo afectaron a 6.533 entidades en el segundo semestre de 2017, el pago por ataque fue mucho más alto.
¿Qué se puede hacer?
Parte del problema con la detección de ataques BEC es que, por lo general, no contienen ningún tipo de malware que detectar y, por lo tanto, pasan desapercibidos al radar de las defensas tradicionales. Con frecuencia, estas amenazas implican una solicitud urgente que es enviada a un miembro del equipo financiero desde un dominio falso para que parezca que se envía desde el email del CEO, el director general de la empresa. En el mensaje se pide que se transfieran fondos lo más pronto posible a una cuenta externa. En ocasiones, el atacante ha comprometido la cuenta de la persona que supuestamente envía el correo electrónico, lo que hace que sea doblemente difícil saber si esto es falso. Otras estafas pueden hacerse pasar por terceros, por ejemplo proveedores.
Todo esto requiere una estrategia multinivel para mitigar la amenaza del BEC:
• Educar a los empleados para que examinen los correos electrónicos en los que se solicitan transferencias de dinero.
• Asegurar que los procesos de negocio requieran una aprobación secundaria para cualquier transferencia importante fuera de la organización, especialmente si los datos de pago de los proveedores han cambiado.
• Valorar la posibilidad de invertir en seguridad avanzada para el email que permita detectar estafas.
Solo haciendo que su personal, sus procesos y su tecnología sean más inteligentes, podrá aislar a su organización de los ataques BEC, mientras la policía de todo el mundo hace todo lo que puede para detener a los estafadores.
Trend Micro
