En la actualidad existen tantos tipos de ciberdelincuencia que a las empresas les resulta cada vez más difícil priorizar sus medidas de defensa contra las violaciones de datos, los ataques de virus y el sabotaje corporativo.
Sabemos que la ciberdelincuencia va en aumento. Y eso es un eufemismo.
Lo vemos todos los días: desde influir en elecciones importantes hasta paralizar empresas de la noche a la mañana, no hay que subestimar el modo en que la ciberdelincuencia infecta nuestra vida cotidiana.
El inversor multimillonario Warren Buffett afirma que las ciberamenazas son la mayor amenaza para la humanidad, incluso más que las amenazas de las armas nucleares.
Créalo o no. El siguiente es un escenario de la vida real que podría ocurrirle a cualquier organización...
Era un día más en la oficina...
El correo electrónico se parecía a cualquier otra instrucción del director general al director financiero de la empresa.
"¡Grandes noticias! El acuerdo de adquisición ha sido acordado. Por favor, transfiera $6m a esta cuenta para que podamos finalizarlo lo antes posible. Esto debe hacerse antes del cierre del juego de hoy. Gracias".
Sin pensar en ello, el empleado cumplió las instrucciones del director general, envió los fondos y los tachó de su lista de tareas antes de abandonar la oficina por ese día.
A la mañana siguiente, las alarmas comenzaron a sonar cuando la empresa adquirida llamó para preguntar por qué no había recibido los fondos.
El banco de la empresa comenzó a investigar y rápidamente confirmó que el $6m fue enviado con toda seguridad, pero ¿a dónde?
Es muy probable que nadie sepa nunca la respuesta a esa pregunta.
Afortunadamente, parte del dinero fue recuperado posteriormente por el banco. Pero los piratas informáticos se llevaron la mayor parte de los $6m cuando cobraron, ya sea utilizando una red de blanqueo de dinero inteligentemente concebida, o cuando pasaron a su siguiente víctima.
Mientras tanto, el director financiero se sintió desolado, mientras la empresa se rascaba la cabeza, tratando de entender cómo podía haber sucedido esto. Al fin y al cabo, el correo electrónico procedía aparentemente de la dirección de correo electrónico del jefe directamente al jefe de finanzas, y su cuenta no había sido hackeada.
Un experto en ciberseguridad se encargó de dar la mala noticia a la empresa: los correos electrónicos no son de fiar.
Fraude de los directores generales
Sí, se trata de un ejemplo real de un ciberataque comúnmente conocido como Business Email Compromise, o CEO Fraud.
Este tipo de incidentes suelen ser ataques poco sofisticados y de baja tecnología, que se basan más en la ingeniería social y en el puro engaño que en el hacking convencional.
Los ciberdelincuentes se limitan a suplantar la dirección de correo electrónico de un alto directivo de la empresa y, a continuación, envían una instrucción que parece auténtica a un empleado desprevenido.
Para el empleado, el correo electrónico parece provenir del jefe. La realidad es que ha sido enviado por un impostor.
Por lo general, el pedido tiene un sentido de urgencia y el empleado se limita a hacer lo que se le dice, lo que puede suponer el envío de grandes cantidades de dinero a los delincuentes por error.
Los ataques de compromiso del correo electrónico empresarial (BEC) son una forma de ciberdelincuencia que utiliza el fraude por correo electrónico para atacar a organizaciones comerciales, gubernamentales y sin ánimo de lucro con el fin de lograr un resultado específico que afecte negativamente a la organización objetivo. Entre los ejemplos de ataques BEC más comunes se encuentran las estafas de facturas y los ataques de suplantación de identidad con el objetivo de recopilar datos para otras actividades delictivas. A menudo se producen violaciones de la privacidad de los consumidores como resultado de un ataque BEC.
Por lo general, un ataque se dirige a funciones específicas de los empleados dentro de una organización mediante el envío de un correo electrónico falso (o una serie de correos electrónicos falsos) que representan fraudulentamente a un colega de alto nivel (director general o similar) o a un cliente de confianza. El correo electrónico emitirá instrucciones como la aprobación de pagos o la liberación de datos de clientes. Los correos electrónicos suelen utilizar la ingeniería social para engañar a la víctima para que realice transferencias de dinero a las cuentas bancarias del estafador.
El impacto financiero a nivel mundial es grande, con el FBI de Estados Unidos en 2017 informando de las pérdidas, "...que ahora suman más de $3 mil millones.
Estas estafas van en aumento y, según el FBI de Estados Unidos, han provocado pérdidas en todo el mundo de al menos $26 mil millones (21 mil millones de libras) desde 2016.
A principios de este mes se detuvo a 281 presuntos piratas informáticos en 10 países diferentes en el marco de una operación masiva de desmantelamiento de redes mundiales de ciberdelincuencia basadas en estas estafas.
Ryan Kalember, vicepresidente ejecutivo de estrategia de ciberseguridad de Proofpoint, dijo:
El Business Email Compromise (BEC) es el problema más caro de toda la ciberseguridad. No hay ninguna otra forma de ciberdelincuencia que tenga el mismo grado de alcance en términos de dinero perdido.
Proofpoint fue designado para hacer frente al incidente del fraude del director general descrito anteriormente.
El Sr. Kalember y su equipo han visto evolucionar las tácticas durante el año pasado y tienen algunas observaciones y advertencias interesantes para las víctimas potenciales.
Objetivos no ejecutivos
Los objetivos tradicionales de los ataques BEC son las figuras de la "C-suite" de las grandes empresas, como los directores ejecutivos o los directores financieros.
Sin embargo, según Kalember, en los últimos tiempos los delincuentes van a por la fruta más fácil:
Las "personas muy atacadas" que vemos ahora rara vez son VIP. Las víctimas suelen tener correos electrónicos fáciles de buscar o direcciones compartidas fáciles de adivinar. ...Las personas VIP, por regla general, tienden a estar menos expuestas, ya que las organizaciones suelen hacer un trabajo bastante bueno de protección de las direcciones de correo electrónico VIP ahora,
La empresa de ciberseguridad Cofense también ha observado esta tendencia.
En algunos casos, los correos electrónicos de los empleados son suplantados y el atacante pide a los departamentos de recursos humanos que envíen el salario de la víctima a una nueva cuenta bancaria.
Dave Mount, de Cofense, dijo:
Un sistema de recompensas más pequeño pero mucho más amplio será un intento deliberado de volar por debajo del radar para dirigirse a los procesos financieros que probablemente tengan controles más débiles, pero que aún produzcan rendimientos atractivos,
Advertencia del lunes
Otro método que se ve con más frecuencia son los correos electrónicos de estafa enviados el lunes por la mañana.
Según Proofpoint, más de 30% de los correos electrónicos BEC se envían los lunes, ya que los hackers intentan aprovechar los atrasos del fin de semana.
Esperan que el "jet-lag social" haga que los empleados se dejen engañar más fácilmente por correos electrónicos falsos y otros trucos de ingeniería social.
"Los atacantes saben cómo funcionan las personas y las oficinas. Dependen de que la gente cometa errores y tienen mucha experiencia con lo que funciona. No se trata de una vulnerabilidad técnica, sino de un error humano", dijo Kalember.
Fake Forward
Los hilos de correo electrónico falsos forman parte de otra técnica que ha evolucionado.
Los atacantes comienzan las líneas de asunto de sus correos electrónicos con "Re:" o "Fwd:" para que parezca que su mensaje forma parte de una conversación anterior.
En algunos casos, incluso incluyen un historial de correo electrónico falso para establecer una aparente legitimidad.
Según los investigadores, los intentos de fraude que utilizan esta técnica han aumentado en más de 50% año tras año.
El Sr. Kalember afirma que todas estas tendencias siguen un patrón predecible basado en nuestro propio comportamiento.
"Una de las razones por las que este es un problema especialmente difícil de erradicar es que se basa en el riesgo sistémico de que todos confiemos en el correo electrónico como medio de comunicación", dijo.
Por desgracia para las empresas y los empleados involuntarios, es poco probable que la BEC desaparezca.
La falsificación del correo electrónico es técnicamente muy sencilla, y los servicios en línea de uso gratuito ofrecen una barrera de entrada baja.
Pero hay muchas cosas que las empresas y los empleados pueden hacer, entre ellas estar atentos y conscientes de los ataques.
Las empresas podrían insistir en la llamada verificación de dos factores antes de enviar un pago.
Todo esto, por supuesto, depende de que las personas den un paso atrás en lo que a menudo se busca en el lugar de trabajo: la rapidez y la eficiencia.
¿Cómo puedo prevenir el fraude de los directores generales?
El Infosec Institute, organización líder en formación en materia de seguridad, afirma ...
A pesar de sus mejores esfuerzos, los phishers pueden entrar a través de solicitudes de correo electrónico convincentes. Por ello, toda transacción, ya sea financiera o informativa, debe contar con controles. Puedes automatizar algunas de ellas para que los errores obvios se identifiquen inmediatamente, pero al final del día, necesitas a un humano en el trabajo que tenga que confirmar un número, hablar con una segunda persona y comprobar las autorizaciones antes de que se pueda completar cualquier transacción importante.
Usted no quiere insultar la vanidad de los miembros de su C-suite, pero tampoco puede dejar que los privilegios de la jerarquía corporativa pongan en riesgo a su empresa. El elemento más exitoso de una estafa BEC es el que implica un sentido de urgencia en la tarea que se solicita, dando a entender que algo vital pende de un hilo. Y son estas decisiones apresuradas e improvisadas las que suelen causar el mayor daño.
No puede ser cuestión de un clic de ratón cuando se trata de grandes sumas. Todos los integrantes de la cadena de decisión tienen que buscar un número real, asociado a una cuenta real, introducir ese número manualmente y luego confirmar verbalmente esa transacción con otra persona, sin excepciones.
Fuentes y lecturas adicionales: Noticias de la BBC, InfosecInstitute, Wikipedia
NOTA: Este artículo se proporciona únicamente con fines informativos y no constituye un asesoramiento legal o profesional. El Grupo de Privacidad de Datos recomienda a las empresas que contraten los servicios de un profesional con experiencia en privacidad y protección de datos cuando se preparen para cumplir con la legislación sobre protección de datos y privacidad.