Diferentes, pero no tanto
Para empezar, debemos aclarar que los ataques BEC (Business Email Compromise, por sus siglas en inglés) y los ataques EAC (Email Account Compromise) tienen igual objetivo:
Ganar dinero o robar información confidencial.
Tanto uno como otro
se basan en ingeniería social, aprovechando que es mucho más sencillo engañar a una persona desinformada que saltar las barreras tecnológicas de seguridad de una organización. A ello se suma la realidad de muchas compañías que aún
no asumen las crecientes amenazas y por lo tanto, no fortalecen la capa humana, la barrera más importante de defensa.
De los ataques BEC y EAC se derivó por ejemplo, el famoso
Fraude del CEO: un ataque de ingeniería social, donde los ciberdelincuentes suplantan la identidad de un alto ejecutivo mediante correo electrónico. El fin más común es lograr que la víctima del engaño envíe dinero a una cuenta fraudulenta.
Entonces, si el objetivo es el mismo, ¿qué diferencia a estos dos ataques?
El proceso de suplantación de identidad.
Ataques BEC (Business Email Compromise)
Los ciberdelincuentes utilizan diversas técnicas para hacerse pasar por otra persona, por ejemplo:
Es importante destacar que los ciberdelincuentes
no obtienen acceso a la cuenta de email que desean suplantar sino que, a través de estas técnicas, envían correos en su nombre.
Ataques EAC (Email Account Compromise)
Los ciberdelincuentes comprometen la cuenta de correo de su víctima utilizando diversas técnicas:
- Robo de credenciales a través de Phishing
- Consulta de credenciales filtradas
- Técnicas de fuerza bruta
- Malware
Este tipo de ataque es más sofisticado. La ventaja para el ciberdelincuente es
el acceso a toda la información que su víctima posee en su correo electrónico:
- Historial de correos y destinatarios comunes
- Archivos adjuntos enviados y recibidos
- Firma
- Configuraciones
El sólo hecho de comprometer la cuenta de su víctima, como puede verse,
es para los atacantes una mina de oro.
Pero muchos no se conforman con esto, sino que además se aseguran de
mantener el acceso a la cuenta en el tiempo, creando reglas de reenvío de correos o cambiando los permisos. Así, monitorean de manera cercana a su víctima y
pueden realizar una inteligencia certera de la organización.
Con este conocimiento y capacidad de acceso, pueden
intervenir en cualquier conversación y enviar correos realmente convincentes en nombre de la víctima en el momento más adecuado, y lograr así sus objetivos.
Cómo protegernos
Como siempre proclamamos,
la mejor manera de enfrentar un riesgo es mediante una estrategia de seguridad en capas.
Por un lado, necesitamos de las
medidas técnicas necesarias para proteger los
dominios de nuestra organización de ser suplantados, realizar hardening de nuestros
servidores de correo y disponer de
herramientas tecnológicas que nos ayuden a detectar las distintas técnicas de intrusión de los ciberdelincuentes.
Por otro lado, debemos desarrollar
un plan de concientización de los usuarios, generando compromiso e involucramiento en la seguridad de la información mediante contenidos significativos para su vida personal y profesional.
Al tener sus cimientos en la Ingeniería Social, un gran porcentaje de los ataques BEC o EAC
eluden con éxito a las herramientas tecnológicas de seguridad, o directamente
ocurren fuera del dominio de éstas, a través de correo personal, aplicaciones de mensajería o llamados telefónicos.
Un usuario concientizado respecto a este tipo de ataques, estará atento y podrá detectarlos, reportarlos y prevenir convertirse en víctima de los ciberdelincuentes. Las personas se convierten en
el arma más importante contra la ingeniería social.
Al incluir al usuario final en la estrategia de seguridad, estaremos realizando además una inversión transversal
que actúa sobre todos los niveles de nuestras organizaciones y sus beneficios pueden medirse de manera objetiva y sin esfuerzo, mediante las herramientas apropiadas.
Reflexiones finales
Existen muchos reportes donde se pueden apreciar
las grandes pérdidas financieras producto del BEC y EAC. Además, en la última década, todos los informes de ciberseguridad señalan al Phishing como la principal puerta de entrada de los ciberdelincuentes a nuestras organizaciones.
Si no eres del grupo de personas
que confía en alcanzar la seguridad al 100% mediante soluciones tecnológicas, ¿crees que tus usuarios ya están preparados para evitar un compromiso de sus cuentas? ¿Consideras que podrían reconocer un ataque de este estilo?
0 comentarios: