¿Qué es el ataque al correo empresarial (BEC)?
-
El ataque al correo empresarial (BEC) es un tipo de ataque de phishing dirigido a las organizaciones con el objetivo de robar dinero o información crítica.
Definición del ataque al correo empresarial (BEC)
El ataque al correo empresarial (BEC) es un tipo de ciberdelito donde el estafador utiliza el correo para engañar a alguien para que envíe dinero o revele información confidencial de la empresa. El usuario malintencionado se hace pasar por alguien de confianza y solicita el pago de una factura falsa o pide datos confidenciales para utilizarlos en otra estafa. Las estafas de BEC están en alza debido al aumento del trabajo remoto. El año pasado se realizaron casi 20,000 denuncias de BEC al FBI.1
Tipos de estafas de ataque al correo empresarial
El correo es el punto de partida del 91 por ciento de ciberataques.2 Obtén más información sobre los tipos más comunes de correo comprometido.
Robo de datos
A veces, los estafadores empiezan atacando el departamento de RR. HH. para robar información de la empresa como el número de teléfono personal o la agenda de alguien. Después será más fácil realizar una de las otras estafas de BEC y hacer que parezca más creíble.
Estafa de facturas falsas
El estafador se hace pasar por un proveedor legítimo con el que trabaja tu empresa y envía por correo una factura falsa, que a menudo se parece mucho a una real. El número de cuenta puede que solo tenga un dígito diferente. O puede pedirte que realices el pago en otro banco y aducir que el banco está siendo auditado.
Fraude de CEO
Los estafadores suplantan o atacan la cuenta de correo de un CEO y envían por correo instrucciones a los empleados para que realicen una compra o envíen dinero mediante transferencia bancaria. Los estafadores incluso pueden pedir a un empleado que compre una tarjeta regalo y solicitar después fotos de los números de serie.
Suplantación de abogados
En este tipo de estafa, los atacantes consiguen acceso no autorizado a una cuenta de correo en un despacho de abogados. A continuación, envían por correo a los clientes una factura o un enlace para pagar en línea. La dirección de correo es legítima, pero la cuenta bancaria no lo es.
Ataque a la cuenta
Los estafadores utilizan el phishing o el malware para obtener acceso a la cuenta de correo de un empleado del departamento de finanzas, por ejemplo, un gestor de cuentas por cobrar. Después, el estafador envía por correo a los proveedores de la empresa facturas falsas que solicitan el pago a una cuenta bancaria fraudulenta.
¿Cómo funcionan las estafas de BEC?
A continuación, se describe lo que ocurre en una estafa de BEC:
1. Los estafadores investigan a sus objetivos y determinan cómo fingir su identidad. A veces, crean sitios web falsos o incluso registran empresas con el mismo nombre que la tuya en otro país.
2. Una vez tienen acceso, los estafadores supervisan los correos para averiguar quién puede enviar o recibir dinero. También consultan las facturas y los patrones de conversación.
3. Durante una conversación por correo, el estafador suplanta la identidad de una de las partes suplantando el dominio de correo. (La dirección de correo puede cambiar solo en una letra o dos, o puede ser la dirección correcta "a través de" un dominio diferente, por ejemplo, chris@contoso.com a través de fabrikam.com.)
4. El estafador intenta ganarse la confianza del objetivo y después solicita dinero, tarjetas regalo o información.
Objetivos del ataque al correo empresarial
Cualquier usuario puede ser el objetivo de una estafa de BEC. Los objetivos pueden ser empresas, gobiernos, ONG y escuelas, específicamente estos roles:
1. Ejecutivos y líderes, porque a menudo se publican sus datos en el sitio web de la empresa, de forma que los atacantes pueden fingir conocerles.
2. Empleados del departamento financiero, por ejemplo, interventores y personal de cuentas por pagar que manejan datos bancarios, métodos de pago y números de cuenta.
3. Directores de RR. HH. con registros de empleados como, por ejemplo, números del seguro social, declaraciones de impuestos, información de contacto y agendas.
4. Empleados nuevos o de nivel de entrada, que no podrán verificar la legitimidad de un correo con el remitente.
Los peligros del BEC
Si un ataque al correo empresarial es satisfactorio, tu organización puede:
1. Perder cientos de miles de millones de dólares.
2. Enfrentarse a un robo de identidad generalizado si se roba información de identificación personal.
3. Filtrar accidentalmente datos confidenciales como, por ejemplo, propiedad intelectual e industrial.
A medida que evolucionan las estafas de BEC, también lo hacen las estrategias de protección contra amenazas. De hecho, Microsoft bloqueó 32,000 millones de amenazas por correo en el último año.3 Obtén más información sobre las soluciones de protección contra amenazas de correo de Microsoft.
Ejemplos de ataque al correo empresarial
Ejemplo n.º 1: Paga esta factura urgente
Supongamos que trabajas en el departamento de finanzas de tu empresa. Recibes un correo del director financiero con una solicitud urgente sobre una factura vencida, pero en realidad no es del director financiero. O bien, el estafador finge ser tu empresa de reparaciones o tu proveedor de Internet y envía una factura de aspecto convincente.
Ejemplo n.º 2: ¿Cuál es tu número de teléfono?
Un ejecutivo de tu empresa te envía este texto "Necesito tu ayuda con una tarea rápida. Envíame tu número de teléfono y ahora te escribo un SMS". El envío de mensajes de texto da una sensación más segura y personal que el correo. De esta forma, el estafador espera que le envíes un mensaje de texto con información de pago u otra información confidencial. Este método se denomina "smishing" o suplantación de identidad por mensaje SMS (texto).
Ejemplo n.º 3: Tu alquiler está a punto de expirar
Un estafador obtiene acceso al correo de una inmobiliaria y busca las transacciones en curso. Envía el siguiente correo a los clientes: "Esta es la factura para renovar el alquiler de la oficina por otro año" o "Este es el enlace para pagar la fianza del alquiler". Los estafadores recientemente han timado a alguien más de $500,000 de esta forma.4
Ejemplo n.º 4: Adquisición de secreto máximo
Tu jefe solicita un pago por adelantado para adquirir a una empresa de la competencia. "Que esto quede entre nosotros" dice en el correo, donde además te disuade de verificar la solicitud. Como los detalles de Fusiones y adquisiciones suelen mantenerse en secreto hasta que todo es definitivo, esta estafa puede que no parezca sospechosa al principio.
Consejos para prevenir el BEC
Sigue estos cinco procedimientos recomendados para detener los ataques al correo empresarial:
Usa una solución de correo segura
Las aplicaciones de correo como Office 365 marcan y suprimen automáticamente los correos sospechosos o te avisan de que el remitente no se ha verificado. A continuación, puedes bloquear determinados remitentes y notificar correos como no deseados. Defender para Office 365 añade incluso más características de prevención de BEC como la protección contra phishing avanzada y la detección de reenvíos sospechosos.
Configurar la autenticación multifactor (MFA)
Haz que tu correo sea más difícil de atacar activando la autenticación multifactor, que requiere un código, PIN o huella digital para iniciar una sesión, además de tu contraseña.
Enseñar a los empleados a detectar señales de advertencia
Asegúrate de que todos los empleados sepan cómo detectar vínculos de phishing, una discrepancia de dominio y dirección de correo, y otras señales de alerta. Simula una estafa de BEC para que los empleados puedan reconocer una cuando ocurra.
Fijar valores predeterminados de seguridad
Los administradores pueden reforzar los requisitos de seguridad en toda la organización exigiéndoles el uso de MFA, solicitando autenticación a los accesos nuevos o de riesgo, y obligando a restablecer contraseñas si se filtra información.
Usa herramientas de autenticación de correo
Haz que tu correo sea más difícil de suplantar autenticando a los remitentes con el Marco de directivas de remitente (SPF), DomainKeys Identified Mail (DKIM) y la Autenticación de mensajes, informes y conformidad basada en dominios (DMARC).
Adoptar una plataforma de pagos seguros
Se recomienda cambiar de las facturas por correo a un sistema diseñado específicamente para autenticar los pagos.
Protección contra ataques al correo empresarial
Protege tu empresa con soluciones para detectar correos sospechosos como Microsoft Defender para Office 365, que permite:
1. Comprobar automáticamente estándares de autenticación de correo, detectar la suplantación de identidad y enviar correos a carpetas de cuarentena o correo no deseado.
2. Usar la IA para modelar los patrones de correo normales de cada persona y marcar la actividad inusual.
3. Configurar la protección de correo por usuario, dominio y buzón.
4. Investigar las amenazas, averiguar quién es el objetivo, detectar falsos positivos e identificar a los estafadores en el Explorador de amenazas.
5. Comprobar los patrones de correo en todo el dominio y resaltar la actividad inusual con algoritmos avanzados en la Inteligencia contra la suplantación de identidad.
Más información sobre Seguridad de Microsoft
Seis consejos para que el correo sea más seguro
Sigue estos procedimientos recomendados de seguridad de correo para protegerte contra el BEC.
Conoce la estafa de la tarjeta regalo
Lee correos reales de estafadores que intentan llevar a cabo una estafa de BEC para estar preparado.
Adéntrate en un ataque BEC
Descubre cómo operan los estafadores en esta estafa de ataque al correo empresarial de la vida real.
Evitar ataques de difusión de contraseña
Aprende a detener este ataque al correo y averigua quién es vulnerable en tu organización.
Qué CISO debes conocer
Obtén información sobre el estado del aprendizaje para la concienciación sobre seguridad y cómo formar a tu equipo sobre el phishing.
Como la MFA evita el phishing
Realiza uno de los pasos más rápidos y sencillos para frustrar las estafas de BEC: activa la autenticación multifactor.
Conoce a la Unidad de crímenes digitales
Descubre cómo el equipo de ciberdelitos de Microsoft contrarresta el BEC con innovación de productos, investigación e IA.
Preguntas más frecuentes
-
Presenta una queja en el Centro de denuncias de delitos de Internet (IC3) del FBI. Notifica el correo a través de tu proveedor de correo marcándolo como correo no deseado o spam. Si tu correo no tiene esta opción, informa a tu supervisor.
-
El phishing es solo una parte de los ataques al correo empresarial. BEC es el término paraguas, un tipo de ataque que a menudo incluye phishing, suplantación electrónica, suplantación de identidad y facturas falsas.
-
Protege los correos empresariales siguiendo los procedimientos recomendados de seguridad de correo como, por ejemplo, utilizar un proveedor de correo seguro, activar la autenticación multifactor (MFA), elegir una contraseña de correo segura y cambiarla a menudo, y no compartir datos personales en línea. Si eres administrador, se recomienda utilizar soluciones de seguridad de correo como Defender para Office 365, configurar los valores de seguridad y supervisar la actividad en busca de anomalías.
-
Detecta el fraude y la estafa de BEC observando cualquier cosa inusual, como un correo enviado fuera del horario comercial, nombres mal escritos, una discrepancia entre la dirección del remitente y la dirección de respuesta, una sensación de urgencia, vínculos y datos adjuntos extraños, o cambios en la información de facturación o de pago. También puedes detectar estafas de BEC comprobando los correos eliminados de tu cuenta de correo y las reglas de reenvío para ver si la cuenta se ha vulnerado. Si tu aplicación de correo marca determinados correos como sospechosos o no verificados, esa es otra forma de detectar estafas de BEC.
-
La suplantación de correo es la falsificación de una dirección de correo para que parezca que el mensaje proviene de otra persona. Los correos suplantados pueden parecer reales, pero provenir de otro dominio que no es obvio hasta que lo inspeccionas (chris@contoso.com a través de fabrikam.com) o que tienen sutiles errores de ortografía (chris@cont0so.com) o son de un dominio totalmente diferente (chris@fabrikam.com).
1. FBI. "Informe de delitos en Internet de 2021". Centro de denuncias de delitos de Internet. 2021.
2. Ganacharya, Tanmay. "Protección contra ataques de phishing relacionados con el coronavirus". Blog de Seguridad de Microsoft. 20 de marzo de 2020.
3. Microsoft. "Informe de protección digital". Octubre de 2021.
4. Departamento de Justicia de EE. UU. "Un hombre de Rhode Island se declara culpable de conspiración para blanquear fondos de un fraude de ataque de correo dirigido a un abogado de Massachusetts". 15 de julio de 2020.
Sigue a Microsoft 365