El Compromiso del Correo Electrónico Empresarial (CCEE) es una amenaza de ciberseguridad de rápido crecimiento que enfrentan todas las empresas, especialmente las pequeñas y medianas (PyMEs). El Centro de Quejas de Delitos en Internet (IC3) del FBI reportó en su Informe de Delitos en Internet de 2020 que recibió 19,369 quejas de Compromiso de Correo Electrónico Empresarial (CCEE) que suman más de $1.8 mil millones de dólares en pérdidas ajustadas en los Estados Unidos para ese año.

Al respecto, Christopher Budd, gerente Sénior Global de Comunicaciones sobre Amenazas en Avast, destacó que los ataques de CCEE utilizan principalmente el correo electrónico, pero pueden llevarse a cabo mediante mensajes SMS, mensajes de correo de voz e incluso llamadas telefónicas. Los ataques de CCEE son notables porque se basan en gran medida en las llamadas técnicas de “ingeniería social”, lo que significa que utilizan trucos y engaños contra las personas.

“Los ataques de CCEE pueden ser muy efectivos y cualquiera puede ser víctima de ellos, sin importar cuán rico o sofisticado sea. En febrero de 2020, Barbara Corcoran — la empresaria estadounidense, inversora y jueza del reality show empresarial de televisión “Shark Tank” —casi pierde cerca de $400,000 en una estafa de CCEE. Afortunadamente, su rápido accionar le permitió recuperar el dinero. Pero las estadísticas del FBI muestran que no todo el mundo tiene tanta suerte”, mencionó el gerente

Debido a que los ataques de CCEE dependen en gran medida de la ingeniería social, el software de seguridad tradicional no siempre protege contra ellos. Eso significa que usted y sus empleados desempeñan un papel importante en la protección contra ellos, por lo que es sumamente importante comprender qué son los ataques de CCEE y cómo funcionan.

Cómo funcionan los ataques de CCEE

Si bien hay muchas formas en que los ataques de CCEE pueden desarrollarse, todas se reducen a una fórmula simple. Un atacante intentará convencer a un empleado de que envíe dinero a los atacantes haciéndose pasar por alguien en quien el empleado confía.

Los atacantes a menudo intentan mejorar sus chances de manipular a la víctima de dos maneras. Primero, intentan hacer que su ataque sea creíble por la persona que eligen suplantar. En segundo lugar, intentan crear un sentido de urgencia para que sea menos probable que la víctima prevista cuestione la transacción y que siga los canales adecuados para los pagos que podrían detectar la estafa.

A veces, los atacantes combinan inteligentemente estas dos tácticas para lograr una mayor efectividad.

Christopher Budd ejemplificó que un tipo de ataque de CCEE que hemos visto involucra a un empleado que recibe un mensaje urgente del director ejecutivo u otro ejecutivo de alto nivel diciendo que necesita que el empleado pague una factura vencida u obtenga tarjetas de regalo para un evento urgente de la empresa. Estos pueden ser correos electrónicos o mensajes de texto, pero los atacantes incluso han utilizado tecnología deep fake para imitar mensajes y llamadas de correo de voz. Un ejecutivo en 2019 perdió $220,000 euros en un ataque como este cuando los atacantes utilizaron tecnología deep fake para hacerse pasar por su CEO.

En otro tipo de ataque de CCEE, los atacantes usan cuentas de correo electrónico falsas y comprometidas para convencer a un empleado de que están tratando con un proveedor legítimo. Los atacantes pueden intercambiar varios correos electrónicos con la víctima prevista para convencerla de que es un proveedor real y luego enviarle una factura falsa. Así se llevó a cabo el ataque contra Barbara Cocoran.

Un tercer tipo de ataque de CCEE se dirige a la nómina de las empresas. En estos, los atacantes se hacen pasar por empleados e intentan que el personal de nómina de la empresa cambie la información de depósito directo del empleado a su propia cuenta bancaria. Estos ataques son más sutiles y toman más tiempo, pero pueden ser muy efectivos.

En casi todos los casos, el objetivo de los atacantes de CCEE es obtener dinero de una de estas dos formas: transferencia electrónica de fondos (incluida la criptomoneda) o tarjetas de regalo. Si bien el uso de tarjetas de regalo para un ataque como este puede resultar sorprendente, los atacantes han descubierto que es una forma fácil de transferir y blanquear dinero.

Cómo puede protegerse contra los ataques de CCEE

Los ataques de CCEE son en realidad ataques de fraude tradicionales que utilizan la tecnología actual: vimos este tipo de estafa mucho antes de que existiera el correo electrónico o el correo de voz. Debido a que estos no son ataques basados en la tecnología, significa que las soluciones basadas en la tecnología no serán tan efectivas contra estos ataques como lo son, por ejemplo, contra el ransomware. Un correo electrónico de CCEE bien hecho, por ejemplo, es difícil que un software de seguridad lo distinga de uno legítimo, especialmente si proviene de la cuenta real, pero comprometida, de alguien en quien uno confía, explicó Christopher Budd

Esto significa que la protección contra los ataques de CCEE debe centrarse en dos cosas: usted y sus empleados.

Christopher Budd recomendó los siguientes consejos:

Primero, usted y sus empleados deben aprender a sospechar cuando un correo electrónico inesperado y repentino del director ejecutivo les dice: “Necesito que obtengas $5,000 dólares en tarjetas de regalo para una fiesta de cumpleaños hoy, envíame los números y no le digas a nadie”. Es uno de los principales pasos en la prevención de estos ataques.

En segundo lugar, refuerce la importancia de verificar las solicitudes de pago y seguir las reglas establecidas para pagar facturas, cambiar la información de depósito directo y comprar y enviar tarjetas de regalo. Por ejemplo, informe a los empleados que deben llamar a un empleado o proveedor para solicitar el pago. Asegúrese de que sepan usar el número que tienen registrado y que verifiquen que la factura o solicitud sea legítima antes de hacer cualquier otra cosa.

Enfatice que incluso si las solicitudes parecen provenir de personas de alto nivel en su empresa, los empleados aún deben verificarlas. Los atacantes intentan convencer a las víctimas de que mantengan estos ataques en secreto para aumentar sus posibilidades de éxito y se aprovechan de la renuencia de los empleados a cuestionar a las autoridades. Deje en claro que los empleados pueden y deben plantear preguntas en situaciones como esta.

En última instancia, los ataques de CCEE tienen éxito porque los atacantes engañan a sus víctimas haciéndoles creer su engaño. Si bien los ataques de CCEE utilizan tecnología, en realidad son solo una versión moderna de fraudes y estafas ancestrales. Por lo tanto, frustrarlos requiere adaptarse a las nuevas formas en que operan estos viejos fraudes.

La buena noticia es que con la formación y la educación adecuadas y siguiendo las políticas y los procedimientos adecuados, puede frustrar estos ataques. Solo tiene que tomarse el tiempo para informarse a sí mismo y a sus empleados de que existen estas estafas, cómo operan y la forma correcta de manejar las solicitudes de pago, independientemente de cómo se reciban.