{"id":22178,"date":"2020-03-24T14:47:15","date_gmt":"2020-03-24T12:47:15","guid":{"rendered":"https:\/\/www.kaspersky.es\/blog\/?p=22178"},"modified":"2020-03-24T14:47:15","modified_gmt":"2020-03-24T12:47:15","slug":"what-is-bec-attack","status":"publish","type":"post","link":"https:\/\/www.kaspersky.es\/blog\/what-is-bec-attack\/22178\/","title":{"rendered":"C\u00f3mo lidiar con un ataque BEC"},"content":{"rendered":"<p>Los ciberdelincuentes est\u00e1n buscando constantemente nuevas formas de atacar a las empresas. En a\u00f1os anteriores, han recurrido cada vez m\u00e1s a los ataques de compromiso de correo electr\u00f3nico (conocidos como BEC por sus siglas en ingl\u00e9s) dirigidos contra la correspondencia corporativa.<\/p>\n<p>Tan solo el Internet Crime Complaint Center (IC3) de los EE. UU. notific\u00f3 <a href=\"https:\/\/pdf.ic3.gov\/2019_IC3Report.pdf\" target=\"_blank\" rel=\"noopener nofollow\">23.775 incidentes ante el FBI en el 2019<\/a>, un aumento de 3500 <a href=\"https:\/\/pdf.ic3.gov\/2018_IC3Report.pdf\" target=\"_blank\" rel=\"noopener nofollow\">con respecto al 2018<\/a>, adem\u00e1s de un aumento en los da\u00f1os: de 1,2 a 1,7 mil millones de d\u00f3lares.<\/p>\n<h2><strong>\u00bfQu\u00e9 es un ataque BEC?<\/strong><\/h2>\n<p>Un ataque BEC se define como una campa\u00f1a de ciberdelincuentes dirigida que opera del siguiente modo:<\/p>\n<ol>\n<li>Inicia un intercambio de mensajes de correo electr\u00f3nico con un empleado de la empresa; o bien, asume el control de una cuenta existente.<\/li>\n<li>Se gana la confianza del empleado.<\/li>\n<li>Fomenta acciones perjudiciales para los intereses de la empresa o de sus clientes.<\/li>\n<\/ol>\n<p>Generalmente, las acciones se relacionan con la transferencia de fondos a las cuentas de los delincuentes o el env\u00edo de archivos confidenciales, pero no siempre. Por ejemplo, nuestros expertos encontraron recientemente una petici\u00f3n que parec\u00eda venir del CEO de una empresa, con instrucciones para enviar c\u00f3digos de tarjetas de regalo mediante mensajes de texto a cierto n\u00famero telef\u00f3nico.<\/p>\n<p>Aunque los intentos de BEC a menudo emplean trucos similares al <em>phishing<\/em>, el ataque es un tanto m\u00e1s sofisticado, pues entra\u00f1a una parte de dominio tecnol\u00f3gico y otra de ingenier\u00eda social. Adem\u00e1s, las t\u00e9cnicas usadas son \u00fanicas: los mensajes no contienen enlaces o archivos adjuntos maliciosos, pero los atacantes intentan enga\u00f1ar al cliente de correo y, por tanto, al destinatario, para que piensen que el correo electr\u00f3nico es leg\u00edtimo. La ingenier\u00eda social tiene un rol principal en todo esto.<\/p>\n<p>Antes del ataque, se lleva a cabo una recopilaci\u00f3n cuidadosa de datos acerca de la v\u00edctima; luego el delincuente los usa para ganarse su confianza. La correspondencia puede consistir en dos o tres mensajes, o puede durar varios meses.<\/p>\n<p>Vale la pena mencionar como nota adicional que los ataques BEC combinan varios panoramas y tecnolog\u00edas. Por ejemplo, los ciberdelincuentes pueden robar primero las credenciales de un trabajador com\u00fan mediante el <em>spear phishing<\/em> y despu\u00e9s lanzan un ataque contra un empleado de alto nivel de la empresa.<\/p>\n<h2>Situaciones comunes de ataques BEC<\/h2>\n<p>Existen bastantes escenarios de ataque BEC, pero los ciberdelincuentes siempre est\u00e1n ideando nuevos m\u00e9todos. Seg\u00fan nuestras observaciones, la mayor\u00eda de los casos se pueden reducir a cuatro variantes:<\/p>\n<ul>\n<li><strong>Grupo exterior falso.<\/strong> Los atacantes se hacen pasar por el representante de una organizaci\u00f3n con la que colabora la empresa del destinatario. En ocasiones, se trata de una empresa real con la que hace negocios la firma de la v\u00edctima. En otros casos, los ciberdelincuentes intentan enga\u00f1ar a las v\u00edctimas ingenuas o descuidadas haci\u00e9ndose pasar por el representante de una empresa falsa.<\/li>\n<li><strong>\u00d3rdenes del jefe.<\/strong> Aqu\u00ed, los ciberdelincuentes crean un mensaje falso en nombre de un gerente (de rango elevado, generalmente) mediante estratagemas t\u00e9cnicas o ingenier\u00eda social.<\/li>\n<li><strong>Mensaje de un abogado.<\/strong> Los estafadores escriben a un empleado de alto nivel (en ocasiones, incluso al CEO) para solicitar de modo urgente, y sobre todo de forma confidencial, el env\u00edo de fondos o de datos confidenciales. A menudo fingen ser un contratista, como un contable, un proveedor o una empresa de log\u00edstica. Sin embargo, la mayor\u00eda de las situaciones que exigen una respuesta urgente y confidencial son de \u00edndole legal, as\u00ed que los mensajes normalmente se env\u00edan a nombre de un abogado o bajo su firma.<\/li>\n<li><strong>Secuestro del correo electr\u00f3nico<\/strong>. El intruso puede ganar acceso a los correos del empleado y puede hacer dos cosas: solicitar la transferencia de fondos o el env\u00edo de datos; o bien, puede iniciar correspondencia con las personas autorizadas para ello. Esta opci\u00f3n es especialmente peligrosa porque el atacante puede ver mensajes en la bandeja de salida, con lo cual se le facilitar\u00e1 imitar el estilo de comunicaci\u00f3n del empleado.<\/li>\n<\/ul>\n<h2>T\u00e9cnicas de ataque BEC<\/h2>\n<p>Los ataques BEC tambi\u00e9n est\u00e1n evolucionando desde un punto de vista tecnol\u00f3gico. Si en el 2013 utilizaban las cuentas de correo electr\u00f3nico secuestradas de los CEO o los CFO, ahora conf\u00edan cada vez m\u00e1s en imitar de modo exitoso a otra persona mediante una combinaci\u00f3n de evasivas t\u00e9cnicas, ingenier\u00eda social y descuido de la v\u00edctima. Estas son las estratagemas t\u00e9cnicas b\u00e1sicas que utilizan:<\/p>\n<ul>\n<li><strong>Simulaci\u00f3n del remitente del correo<\/strong>. El estafador simula los encabezados del correo. En consecuencia, por ejemplo, un mensaje enviado desde phisher@email.com parece venir de CEO@tuempresa.com en la bandeja de entrada de la v\u00edctima. Este m\u00e9todo tiene muchas variantes y los encabezados se pueden cambiar de varias maneras. El peligro principal de este m\u00e9todo de ataque no solo es que los atacantes puedan manipular los encabezados del mensaje, sino que, por varias razones, los remitentes leg\u00edtimos tambi\u00e9n pueden hacerlo.<\/li>\n<li><strong>Dominios id\u00e9nticos.<\/strong> El ciberdelincuente registra un nombre de dominio muy similar al de la v\u00edctima. Por ejemplo, <em>examp1e.<\/em><em>com<\/em> en lugar de <em>example.com<\/em>. Despu\u00e9s, los mensajes se env\u00edan desde la direcci\u00f3n <em>CEO@examp1e.com<\/em> con la esperanza de que un empleado descuidado no pueda identificar el dominio falso. La dificultad aqu\u00ed yace en el hecho de que el atacante realmente posee el dominio falso, as\u00ed que la informaci\u00f3n sobre el remitente pasar\u00e1 todos los filtros de seguridad tradicionales.<\/li>\n<li><strong><em>Mailsploits<\/em><\/strong>. Siempre se encuentran nuevas vulnerabilidades en los clientes de correo electr\u00f3nico. A menudo pueden usarse para obligar al cliente a mostrar un nombre o direcci\u00f3n de remitente falso. Afortunadamente, dichas vulnerabilidades llaman r\u00e1pidamente la atenci\u00f3n de las empresas dedicadas a la seguridad inform\u00e1tica, lo que permite que las soluciones de seguridad rastreen su uso y eviten ataques.<\/li>\n<li><strong>Secuestro de correo electr\u00f3nico<\/strong>. Los atacantes ganan acceso total a una cuenta de correo con la que pueden enviar mensajes que son casi id\u00e9nticos a los reales. La \u00fanica forma de protegerse autom\u00e1ticamente contra este tipo de ataques es utilizar las herramientas de aprendizaje autom\u00e1tico para determinar la autor\u00eda de dichos correos electr\u00f3nicos.<\/li>\n<\/ul>\n<h2>Los casos que hemos encontrado<\/h2>\n<p>Respetamos la confidencialidad de nuestros clientes, as\u00ed que los siguientes no son mensajes verdaderos sino ejemplos que ilustran algunas posibilidades comunes de ataques BEC.<\/p>\n<h3>Nombre falso<\/h3>\n<p>El atacante intenta establecer contacto con una v\u00edctima potencial, haci\u00e9ndose pasar por su jefe. Con el fin de que el destinatario no intente contactar con el verdadero ejecutivo, el estafador enfatiza la urgencia de la solicitud y la falta de disponibilidad presente del jefe mediante otros canales de comunicaci\u00f3n:<\/p>\n<h3><img loading=\"lazy\" decoding=\"async\" class=\"aligncenter wp-image-22181 size-full\" src=\"https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/88\/2020\/03\/23185914\/what-is-BEC-attack-Example-1.png\" alt=\"El truco del nombre falso\" width=\"588\" height=\"343\"><\/h3>\n<p>Tras revisar cuidadosamente, puedes ver que el remitente (Bob) no corresponde con la direcci\u00f3n real de correo electr\u00f3nico (<em>not_bob@gmail.com<\/em>). En este caso, el atacante falsific\u00f3 solamente el nombre que aparece al abrir el mensaje. Este tipo de ataque es especialmente eficaz en dispositivos m\u00f3viles, que solo muestran por defecto el nombre del remitente, no su direcci\u00f3n.<\/p>\n<h3>Direcci\u00f3n falsa<\/h3>\n<p>El ciberdelincuente busca un empleado del \u00e1rea de contabilidad autorizado para modificar los datos bancarios y le escribe:<\/p>\n<h3><img loading=\"lazy\" decoding=\"async\" class=\"aligncenter wp-image-22182 size-full\" src=\"https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/88\/2020\/03\/23185951\/what-is-BEC-attack-Example2.jpg\" alt=\"El truco de la direcci\u00f3n falsa\" width=\"839\" height=\"227\"><\/h3>\n<p>Aqu\u00ed, el encabezado del mensaje se ha modificado de modo que el cliente muestre tanto el nombre como la direcci\u00f3n de correo electr\u00f3nico del empleado leg\u00edtimo, pero la direcci\u00f3n de correo del atacante se muestra en la opci\u00f3n \u201cresponder a\u201d. En consecuencia, las respuestas a este mensaje se env\u00edan a <em>not_bob@gmail.com<\/em>. Muchos clientes ocultan el campo de \u201cresponder a\u201d por defecto, as\u00ed que este mensaje parece genuino incluso al inspeccionarlo detenidamente. En teor\u00eda, se podr\u00eda detener al atacante que se vale de dicho mensaje mediante la correcta configuraci\u00f3n de SPF, DKIM y DMARC en el servidor de correo corporativo.<\/p>\n<h3>Simulaci\u00f3n fantasma<\/h3>\n<p>El atacante finge ser un gerente y convence a un empleado de la necesidad de cooperar con un abogado falso, quien supuestamente pronto se pondr\u00e1 en contacto con \u00e9l:<\/p>\n<h3><img loading=\"lazy\" decoding=\"async\" class=\"aligncenter wp-image-22183 size-full\" src=\"https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/88\/2020\/03\/23190025\/what-is-BEC-attack-Example-3-EN.jpg\" alt=\"El truco de la simulaci\u00f3n fantasma\" width=\"680\" height=\"312\"><\/h3>\n<p>Aqu\u00ed, el campo del remitente contiene no solo el nombre, sino tambi\u00e9n la direcci\u00f3n de correo simulada. No es la t\u00e9cnica m\u00e1s sofisticada que existe, pero aun as\u00ed mucha gente cae, especialmente si la direcci\u00f3n real no se muestra en la pantalla del receptor (porque es muy larga, por ejemplo).<\/p>\n<h3>Dominio id\u00e9ntico<\/h3>\n<p>Otros ciberdelincuentes intentan iniciar un intercambio de correos electr\u00f3nicos con un empleado de la empresa:<\/p>\n<h3><img loading=\"lazy\" decoding=\"async\" class=\"aligncenter wp-image-22184 size-full\" src=\"https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/88\/2020\/03\/23190054\/what-is-BEC-attack-Example-4.jpg\" alt=\"El truco del dominio id\u00e9ntico\" width=\"722\" height=\"167\"><\/h3>\n<p>Este es un ejemplo del m\u00e9todo del dominio id\u00e9ntico, que hemos mencionado arriba. El estafador primero registra un nombre de dominio similar a uno de confianza (en este caso, <em>examp1e.com<\/em> en lugar de <em>example.com<\/em>) y espera que el destinatario no se d\u00e9 cuenta.<\/p>\n<h2>Ataques BEC contra ejecutivos de alto perfil<\/h2>\n<p>Un reciente n\u00famero de informes han resaltado que los ataques BEC causan da\u00f1os significativos a las empresas de todo tipo y tama\u00f1o. He aqu\u00ed algunos de los m\u00e1s interesantes:<\/p>\n<ul>\n<li>Un ciberdelincuente cre\u00f3 un dominio que imitaba al de un fabricante taiwan\u00e9s de electr\u00f3nica y luego lo us\u00f3 para enviar recibos a empresas grandes (<a href=\"https:\/\/www.theregister.co.uk\/2019\/03\/21\/facebook_google_scam\/\" target=\"_blank\" rel=\"noopener nofollow\">entre las que se encontraban Facebook y Google<\/a>) durante un periodo de dos a\u00f1os, en cuyo proceso se embols\u00f3 120 millones de d\u00f3lares.<\/li>\n<li>Unos ciberdelincuentes, fingiendo ser una empresa de construcci\u00f3n, persuadieron a la Universidad del Sur de Oreg\u00f3n para que <a href=\"https:\/\/www.ibtimes.com\/fradulent-email-business-email-compromise-attack-costs-southern-oregon-university-2m-2551724\" target=\"_blank\" rel=\"noopener nofollow\">transfiriera 2 millones de d\u00f3lares a cuentas falsas.<\/a><\/li>\n<li>Algunos estafadores se entrometieron en la correspondencia entre dos clubes de f\u00fatbol al registrar un dominio con el nombre de uno de ellos, pero con una extensi\u00f3n de dominio diferente. Los dos clubes, Boca Juniors y Paris Saint-Germain, estaban discutiendo la transferencia de un jugador y la comisi\u00f3n por el trato. En consecuencia, casi <a href=\"https:\/\/www.kaspersky.es\/blog\/boca-juniors-case\/\" target=\"_blank\" rel=\"noopener\">520.000 euros fueron a parar a varias cuentas fraudulentas<\/a> en M\u00e9xico.<\/li>\n<li>La divisi\u00f3n europea de Toyota <a href=\"https:\/\/www.kaspersky.es\/blog\/bec-toyota\/\" target=\"_blank\" rel=\"noopener\">sufri\u00f3 la p\u00e9rdida de m\u00e1s de 37 millones de d\u00f3lares<\/a> cuando los ciberdelincuentes dieron instrucciones para una transferencia bancaria falsa que un empleado tom\u00f3 por leg\u00edtima.<\/li>\n<\/ul>\n<h2>C\u00f3mo lidiar con los ataques BEC<\/h2>\n<p>Los ciberdelincuentes usan una variedad muy amplia de trucos t\u00e9cnicos y de m\u00e9todos de ingenier\u00eda social para ganarse la confianza y cometer fraudes. Sin embargo, adoptar una serie de medidas eficaces puede reducir al m\u00ednimo la amenaza de ataques BEC:<\/p>\n<ul>\n<li>Instala SPF, usa firmas DKIM e implementa una pol\u00edtica de DMARC para defenderte de la correspondencia interna falsa. En teor\u00eda, estas medidas tambi\u00e9n permiten a otras empresas autentificar los correos electr\u00f3nicos enviados a nombre de tu organizaci\u00f3n (teniendo en cuenta que esa empresa tenga esas tecnolog\u00edas configuradas). Este m\u00e9todo <a href=\"https:\/\/www.kaspersky.es\/blog\/36c3-fake-emails\/\" target=\"_blank\" rel=\"noopener\">es insuficiente en ciertos aspectos<\/a> (como el de no ser capaz de evitar la simulaci\u00f3n fantasma o los dominios id\u00e9nticos), pero cuantas m\u00e1s empresas usen SPF, DKIM y DMARC, menos libertad de acci\u00f3n tendr\u00e1n los ciberdelincuentes. El uso de estas tecnolog\u00edas contribuye a un tipo de inmunidad colectiva en contra de los diversos tipos de operaciones maliciosas relacionadas con los encabezados de correos.<\/li>\n<li>Forma a tus empleados peri\u00f3dicamente para que detecten la ingenier\u00eda social. Una <a href=\"https:\/\/k-asap.com\/es\/?icid=es_kdailyplacehold_acq_ona_smm__onl_b2b_kasperskydaily_wpplaceholder____kasap___\" target=\"_blank\" rel=\"noopener\">combinaci\u00f3n de talleres y simulaciones<\/a> ayudar\u00e1 a que tus empleados est\u00e9n m\u00e1s atentos e identifiquen los ataques BEC que pudieran evadir otras barreras de defensa.<\/li>\n<li>Usa <a href=\"https:\/\/www.kaspersky.es\/small-to-medium-business-security?icid=es_kdailyplacehold_acq_ona_smm__onl_b2b_kasperskydaily_wpplaceholder_______\" target=\"_blank\" rel=\"noopener\">soluciones de seguridad<\/a> con <a href=\"https:\/\/www.kaspersky.es\/small-to-medium-business-security\/microsoft-office-365-security?icid=es_kdailyplacehold_acq_ona_smm__onl_b2b_kasperskydaily_wpplaceholder____kso365___\" target=\"_blank\" rel=\"noopener\">tecnolog\u00eda especializada antiBEC<\/a> para desarticular los diferentes vectores de ataque descritos en esta publicaci\u00f3n.<\/li>\n<\/ul>\n<p>Las soluciones de Kaspersky con filtrado de contenido, creadas especialmente en nuestro laboratorio, identifican ya muchos tipos de ataques BEC y nuestros expertos est\u00e1n desarrollando continuamente tecnolog\u00edas para extender la protecci\u00f3n contra los fraudes m\u00e1s avanzados y sofisticados.<\/p>\n<input type=\"hidden\" class=\"category_for_banner\" value=\"kesb\">\n","protected":false},"excerpt":{"rendered":"<p>Las empresas del mundo a menudo son v\u00edctimas de los ataques BEC. Te explicamos los peligros y c\u00f3mo minimizarlos. <\/p>\n","protected":false},"author":2569,"featured_media":22180,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[2202,2754,2755],"tags":[2982,3073,43],"class_list":{"0":"post-22178","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-business","8":"category-enterprise","9":"category-smb","10":"tag-bec","11":"tag-correo","12":"tag-phishing"},"hreflang":[{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/what-is-bec-attack\/22178\/"},{"hreflang":"en-in","url":"https:\/\/www.kaspersky.co.in\/blog\/what-is-bec-attack\/19587\/"},{"hreflang":"en-ae","url":"https:\/\/me-en.kaspersky.com\/blog\/what-is-bec-attack\/16127\/"},{"hreflang":"en-us","url":"https:\/\/usa.kaspersky.com\/blog\/what-is-bec-attack\/21158\/"},{"hreflang":"en-gb","url":"https:\/\/www.kaspersky.co.uk\/blog\/what-is-bec-attack\/19421\/"},{"hreflang":"es-mx","url":"https:\/\/latam.kaspersky.com\/blog\/what-is-bec-attack\/17937\/"},{"hreflang":"it","url":"https:\/\/www.kaspersky.it\/blog\/what-is-bec-attack\/20990\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/what-is-bec-attack\/27623\/"},{"hreflang":"tr","url":"https:\/\/www.kaspersky.com.tr\/blog\/what-is-bec-attack\/7936\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/what-is-bec-attack\/34135\/"},{"hreflang":"pt-br","url":"https:\/\/www.kaspersky.com.br\/blog\/what-is-bec-attack\/14811\/"},{"hreflang":"pl","url":"https:\/\/plblog.kaspersky.com\/what-is-bec-attack\/13181\/"},{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/what-is-bec-attack\/23416\/"},{"hreflang":"ja","url":"https:\/\/blog.kaspersky.co.jp\/what-is-bec-attack\/27902\/"},{"hreflang":"nl","url":"https:\/\/www.kaspersky.nl\/blog\/what-is-bec-attack\/25144\/"},{"hreflang":"ru-kz","url":"https:\/\/blog.kaspersky.kz\/what-is-bec-attack\/21831\/"},{"hreflang":"en-au","url":"https:\/\/www.kaspersky.com.au\/blog\/what-is-bec-attack\/27040\/"},{"hreflang":"en-za","url":"https:\/\/www.kaspersky.co.za\/blog\/what-is-bec-attack\/26879\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.es\/blog\/tag\/bec\/","name":"BEC"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/posts\/22178","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/users\/2569"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/comments?post=22178"}],"version-history":[{"count":6,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/posts\/22178\/revisions"}],"predecessor-version":[{"id":22203,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/posts\/22178\/revisions\/22203"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/media\/22180"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/media?parent=22178"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/categories?post=22178"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/tags?post=22178"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}