{"id":22804,"date":"2020-06-01T17:21:13","date_gmt":"2020-06-01T15:21:13","guid":{"rendered":"https:\/\/www.kaspersky.es\/blog\/?p=22804"},"modified":"2020-06-01T17:21:13","modified_gmt":"2020-06-01T15:21:13","slug":"fighting-internal-bec","status":"publish","type":"post","link":"https:\/\/www.kaspersky.es\/blog\/fighting-internal-bec\/22804\/","title":{"rendered":"C\u00f3mo lidiar con un ataque BEC interno"},"content":{"rendered":"

En los \u00faltimos a\u00f1os, los ataques que comprometen el correo corporativo (BEC, por sus siglas en ingl\u00e9s) se han vuelto cada vez m\u00e1s frecuentes. Su objetivo es comprometer la correspondencia empresarial con el fin de cometer fraude financiero, extraer informaci\u00f3n confidencial o da\u00f1ar la reputaci\u00f3n de una empresa. En nuestra publicaci\u00f3n acerca de los tipos de ataques BEC y la forma de lidiar con ellos<\/a>, mencionamos el secuestro de correos electr\u00f3nicos. Hoy, sin embargo, hablamos del tipo m\u00e1s peligroso de ataque BEC: el BEC interno. Recientemente hemos desarrollado e implementado una nueva tecnolog\u00eda que protege de esta amenaza particular.<\/p>\n

Por qu\u00e9 un BEC interno es m\u00e1s peligroso que uno externo<\/h2>\n

Los ataques BEC internos se distinguen de otras situaciones de ataque en que los correos electr\u00f3nicos fraudulentos se env\u00edan desde direcciones leg\u00edtimas de una empresa. Es decir, para iniciar un ataque interno, un atacante tiene que haber accedido a la cuenta de correo de un empleado. Por tanto, no puedes confiar en los mecanismos de autentificaci\u00f3n del correo (DKIM, SPF, DMARC) para evitar el ataque; ni te ayudar\u00e1n las herramientas autom\u00e1ticas est\u00e1ndares de antiphishing<\/em> y antispam<\/em>, que buscan inconsistencias en encabezados t\u00e9cnicos o direcciones modificadas.<\/p>\n

Generalmente, los mensajes provenientes de un correo comprometido solicitan la transferencia de dinero (a un proveedor, un contratista o una oficina tributaria) o el env\u00edo de informaci\u00f3n confidencial. Todo ello aderezado con algunos trucos bastante est\u00e1ndares de ingenier\u00eda social<\/a>. Los ciberdelincuentes meten prisa al destinatario (\u00a1si no pagamos la factura hoy, la empresa recibir\u00e1 una multa!), lo amenazan (te ped\u00ed que hicieras el pago el mes pasado, \u00bf\u00a1qu\u00e9 estabas esperando!?), adoptan un tono autoritario que no admite demoras o utilizan otras artima\u00f1as del libro de t\u00e1cticas de la ingenier\u00eda social. Junto con una direcci\u00f3n leg\u00edtima, pueden dar una impresi\u00f3n muy convincente.<\/p>\n

Los ataques BEC internos tambi\u00e9n pueden incluir correos electr\u00f3nicos con enlaces a sitios falsos cuyas URL son diferentes de la direcci\u00f3n de la organizaci\u00f3n objetivo (o cualquier otra p\u00e1gina de confianza) por una o dos letras (por ejemplo, una \u201ci\u201d may\u00fascula en lugar de una \u201cL\u201d min\u00fascula, o viceversa,). El sitio puede albergar un formulario de pago o un cuestionario que solicite informaci\u00f3n confidencial. Imagina recibir un correo electr\u00f3nico o similar desde la direcci\u00f3n de tu jefe: \u201cHemos decidido enviarte a la conferencia. Reserva el billete desde nuestra cuenta CUANTO ANTES para que podamos recibir el descuento por anticipaci\u00f3n\u201d. Junto con un enlace que parece muy similar al sitio del evento m\u00e1s importante de tu sector y que, casualmente, resulta muy convincente. \u00bfCu\u00e1l es la probabilidad de que te tomes la molestia de analizar cuidadosamente cada letra en el nombre de la conferencia si todo, incluida la firma del correo, parece estar en orden?<\/p>\n

C\u00f3mo proteger a la empresa de los ataques BEC internos<\/h2>\n

T\u00e9cnicamente, el correo electr\u00f3nico es perfectamente leg\u00edtimo, as\u00ed que el \u00fanico modo de reconocer si es falso es juzgando el contenido. Al analizar muchos mensajes maliciosos mediante algoritmos de aprendizaje autom\u00e1tico, es posible identificar rasgos que, combinados, pueden ayudar a determinar si un mensaje es verdadero o si es parte de un ataque BEC.<\/p>\n

Afortunadamente (o no), tenemos muchas muestras. Nuestras trampas de correos electr\u00f3nico recopilan millones de mensajes de spam<\/em> alrededor del mundo cada d\u00eda. Incluyen un n\u00famero considerable de correos de phishing<\/em>, que no son BEC internos, por supuesto, pero que emplean los mismos trucos y tienen el mismo cometido, as\u00ed que podemos utilizarlas para aprender. Para empezar, formamos a un clasificador teniendo en cuenta este gran volumen de muestras para identificar los mensajes que contienen se\u00f1ales de fraude. La siguiente etapa del proceso de aprendizaje autom\u00e1tico opera directamente en el texto. Los algoritmos seleccionan los t\u00e9rminos para detectar los mensajes sospechosos, sobre cuyo fundamento desarrollamos la heur\u00edstica (reglas) que nuestros productos pueden utilizar para identificar ataques. Un conjunto enorme de clasificadores de aprendizaje autom\u00e1tico participa en el proceso.<\/p>\n

Pero esto no es motivo para descuidarse y relajarse. Nuestros productos ahora pueden detectar muchos m\u00e1s ataques BEC que antes, pero al ganar acceso a la cuenta de correo electr\u00f3nico de un empleado, un intruso puede estudiar su estilo e intentar imitarlo durante un ataque \u00fanico. As\u00ed que la vigilancia sigue siendo cr\u00edtica.<\/p>\n

Te recomendamos que observes detenidamente los mensajes que solicitan una transferencia financiera o la divulgaci\u00f3n de informaci\u00f3n confidencial. A\u00f1ade una capa extra de autentificaci\u00f3n que implique llamar por tel\u00e9fono o mandar un mensaje (en un dispositivo de confianza) al compa\u00f1ero en cuesti\u00f3n, o habla con ellos en persona para aclarar toda la informaci\u00f3n.<\/p>\n

Utilizamos la heur\u00edstica que nuestra nueva tecnolog\u00eda antiBEC genera en Kaspersky Security for Microsoft Office 365<\/a> y tenemos pensado implementarla tambi\u00e9n en otras soluciones.<\/p>\n","protected":false},"excerpt":{"rendered":"

Los ataques BEC que usan correos comprometidos resultan especialmente peligrosos. As\u00ed es como hemos aprendido a identificarlos. <\/p>\n","protected":false},"author":2598,"featured_media":22806,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[2202,2754],"tags":[2982,3073,43,1236],"class_list":{"0":"post-22804","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-business","8":"category-enterprise","9":"tag-bec","10":"tag-correo","11":"tag-phishing","12":"tag-tecnologias"},"hreflang":[{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/fighting-internal-bec\/22804\/"},{"hreflang":"en-in","url":"https:\/\/www.kaspersky.co.in\/blog\/fighting-internal-bec\/21361\/"},{"hreflang":"en-ae","url":"https:\/\/me-en.kaspersky.com\/blog\/fighting-internal-bec\/16823\/"},{"hreflang":"en-us","url":"https:\/\/usa.kaspersky.com\/blog\/fighting-internal-bec\/22427\/"},{"hreflang":"en-gb","url":"https:\/\/www.kaspersky.co.uk\/blog\/fighting-internal-bec\/20566\/"},{"hreflang":"es-mx","url":"https:\/\/latam.kaspersky.com\/blog\/fighting-internal-bec\/18979\/"},{"hreflang":"it","url":"https:\/\/www.kaspersky.it\/blog\/fighting-internal-bec\/21831\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/fighting-internal-bec\/28476\/"},{"hreflang":"tr","url":"https:\/\/www.kaspersky.com.tr\/blog\/fighting-internal-bec\/8380\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/fighting-internal-bec\/35691\/"},{"hreflang":"fr","url":"https:\/\/www.kaspersky.fr\/blog\/fighting-internal-bec\/14965\/"},{"hreflang":"pt-br","url":"https:\/\/www.kaspersky.com.br\/blog\/fighting-internal-bec\/15515\/"},{"hreflang":"pl","url":"https:\/\/plblog.kaspersky.com\/fighting-internal-bec\/13501\/"},{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/fighting-internal-bec\/24133\/"},{"hreflang":"nl","url":"https:\/\/www.kaspersky.nl\/blog\/fighting-internal-bec\/25462\/"},{"hreflang":"ru-kz","url":"https:\/\/blog.kaspersky.kz\/fighting-internal-bec\/22363\/"},{"hreflang":"en-au","url":"https:\/\/www.kaspersky.com.au\/blog\/fighting-internal-bec\/27640\/"},{"hreflang":"en-za","url":"https:\/\/www.kaspersky.co.za\/blog\/fighting-internal-bec\/27472\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.es\/blog\/tag\/bec\/","name":"BEC"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/posts\/22804","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/users\/2598"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/comments?post=22804"}],"version-history":[{"count":6,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/posts\/22804\/revisions"}],"predecessor-version":[{"id":22811,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/posts\/22804\/revisions\/22811"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/media\/22806"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/media?parent=22804"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/categories?post=22804"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/tags?post=22804"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}