Probablemente haya oído hablar del término compromiso del correo electrónico empresarial (o BEC, del inglés “Business Email Compromise”). Pero quizá no del término compromiso de cuentas de correo electrónico (EAC, del inglés “Email Account Compromise”), que es un primo cercano del BEC. De hecho, el BEC y el EAC están tan entrelazados que el FBI ha estado rastreando estas estafas como un solo tipo de delito desde 2017. Entonces, ¿qué es exactamente el EAC?
La formación en ciberseguridad empieza aquí
La prueba gratuita funciona de la siguiente manera:
- Reúnase con nuestros expertos en ciberseguridad para evaluar su entorno e identificar su exposición a riesgos.
- En un plazo de 24 horas y con una configuración mínima, desplegaremos nuestras soluciones durante 30 días.
- ¡Conozca nuestra tecnología en acción!
- Reciba un informe que identifica sus vulnerabilidades de seguridad para ayudarle a tomar medidas inmediatas frente a ataques de ciberseguridad.
Rellene este formulario para solicitar una reunión con nuestros expertos en ciberseguridad.
Un representante de Proofpoint se comunicará con usted en breve.
¿Qué es el EAC?
El compromiso de cuentas de correo electrónico (EAC) es un ataque muy sofisticado en el que los atacantes utilizan diversas tácticas, como el rociado de contraseñas, el phishing y el malware, para vulnerar las cuentas de correo electrónico de las víctimas, obteniendo acceso a buzones legítimos. El EAC también conduce al fraude por correo electrónico, en el que el atacante utiliza la ingeniería social para engañar o amenazar al objetivo para que realice un pago financiero fraudulento. En el caso del EAC, casi siempre hay dos víctimas: la persona con el email comprometido y la otra persona que cae en la trampa de la petición fraudulenta desde la cuenta comprometida o hackeada.
¿Cómo funciona el EAC?
Los atacantes pueden obtener acceso a un buzón legítimo de diversas maneras. Realizar un ataque de fuerza bruta es uno de los métodos de descifrado de contraseñas más populares, en el que los atacantes utilizan herramientas automatizadas para probar nombres de usuario y contraseñas una y otra vez, hasta que consiguen entrar. Otras tácticas de ataque comunes incluyen el phishing, en el que los atacantes envían un correo electrónico con un enlace a un sitio web falso diseñado para robar credenciales. A veces, los atacantes utilizan malware, como keyloggers o ladrones, para el hackeo del correo electrónico. Independientemente de la táctica, el objetivo es que usted se convierta en el atacante.
Una vez que los atacantes obtienen acceso legítimo a la cuenta de correo electrónico del objetivo, obtienen también acceso a un tesoro de información —correo electrónico, calendario, reuniones clave con proveedores o clientes, directorio corporativo e incluso archivos en los recursos compartidos— para perfilar a su víctima. Y lo que es más importante, los atacantes mantienen el acceso creando reglas de reenvío de correo electrónico o cambiando los permisos de la cuenta, de modo que pueden vigilar de cerca a la víctima y estudiar la empresa. Logran imitar a la víctima y elaboran mensajes muy convincentes y oportunos utilizando los conocimientos adquiridos para enviar el correo electrónico en el momento oportuno.
Los objetivos apetecibles de los ataques EAC incluyen a sus empleados, tanto de correo electrónico personal como correo corporativo, a sus socios comerciales y a sus clientes. El compromiso de cuentas de correo electrónico suele utilizar las siguientes estrategias:
Secuestro de la cadena de suministros
Escenario I: Su departamento de contabilidad ha sido comprometido
El atacante compromete la cuenta de correo electrónico de un empleado de su departamento de contabilidad. Una vez dentro, el atacante crea una regla de reenvío dentro de la plataforma de correo electrónico y comienza a recopilar copias de todos los mensajes. A continuación, utiliza los conocimientos obtenidos de la cuenta comprometida, como la cadencia de facturación y la interacción con los clientes, para elaborar facturas de aspecto idéntico, utilizando la terminología y los logotipos adecuados, y enviarlas a su cliente. Cuando el cliente paga la factura, el dinero va directamente a la cuenta bancaria de los estafadores en lugar de a la de su empresa. El cliente cree que paga a su empresa, pero en realidad paga al defraudador sin saberlo. En consecuencia, su empresa no sólo pierde el dinero que se le debe, sino que además tiene un grave problema de satisfacción del cliente.
Escenario II: El departamento de contabilidad de su proveedor ha sido comprometido
El atacante compromete la cuenta de correo electrónico de su proveedor. Al igual que en el ejemplo anterior, el atacante conoce todos los detalles y la interacción entre usted y su proveedor. A continuación, elabora facturas de aspecto idéntico y las envía a su empresa. Sólo que esta vez, el atacante sustituye la información bancaria por la de la cuenta bancaria a la que quiere que usted transfiera el dinero. Como resultado, su proveedor nunca recibe el pago de su empresa, y ésta experimenta pérdidas financieras por pagar erróneamente al defraudador. Esto también daña su relación comercial con el proveedor.
Redireccionamiento de nómina
El atacante compromete la cuenta de correo electrónico de un empleado y envía un correo electrónico a RR. HH. solicitando actualizar el depósito directo del empleado víctima con la cuenta bancaria del atacante. En algunos casos, el atacante compromete la cuenta de correo electrónico de un directivo y estudia el negocio de la víctima, como las actividades de fusión y adquisición (M&A, del inglés “Merger & Acquisition”). A continuación, el atacante envía un correo electrónico utilizando el email comprometido del directivo al departamento de contabilidad, solicitando ejecutar una transacción de transferencia de dinero para completar una adquisición, pero esta vez la cuenta bancaria fue sustituida por la del atacante.
BEC vs. EAC
Lo que tienen en común el BEC y el EAC es que se dirigen a las personas, se basan en la ingeniería social y están diseñados para solicitar transferencias o pagos fraudulentos, o para robar información. La mayor diferencia entre el compromiso de cuentas empresariales (BEC) y el compromiso de cuentas de correo electrónico (EAC) es que en el caso del BEC, el atacante se hace pasar por usted; mientras que en el caso de EAC, el atacante es usted, usando su propio email. En el caso del BEC, los atacantes suelen utilizar tácticas de suplantación de identidad, como la suplantación de dominio, la suplantación de nombre de visualización y los dominios parecidos, para engañar a la persona y convencerla de que realice pagos a cuentas fraudulentas. En cuanto al EAC, los atacantes encuentran diferentes formas de comprometer una cuenta de correo electrónico para poder usar la propia cuenta de la víctima. Cuando utilizan su email comprometido para realizar fraudes por correo electrónico, internamente o con sus socios comerciales o clientes, eluden los controles de autenticación de correo electrónico como SPF, DKIM y DMARC, porque es un correo legítimo.
Cómo defenderse contra BEC/EAC
Dado que el EAC y el BEC están tan conectados, es fundamental que se adopte un enfoque holístico para proteger su organización. En otras palabras, si solamente soluciona el EAC, entonces sólo estará abordando una parte del problema. Para una protección más eficaz, necesita solucionar tanto BEC como EAC.
Dada la complejidad de las múltiples tácticas y canales de estos ataques, usted necesita una solución integral que le permita lidiar con todas las tácticas de los atacantes. Confiar únicamente en un único control técnico o en la capacitación para conciencia de seguridad deja expuesta a su organización. Para más información sobre cómo proteger su organización contra los ataques BEC y EAC, haga clic aquí. O consulte el seminario web ”Cómo resolver el problema de 26 000 millones de dólares del compromiso de correo electrónico empresarial y el compromiso de cuentas”.