Por qué una de las mayores ciberamenazas no tiene que ver con la tecnología

Los cibermalos solo necesitan explotar la naturaleza humana y sus debilidades y por eso el Business Email Compromise (BEC) resulta tan peligroso.

Alberto Payo

Periodista

Guardar

email correo electronico mensajes
email correo electronico mensajes

El ransomware y el malware son amenazas que pueden hacer grandes estragos y ocasionar daños terribles en empresas y organismos públicos, pero hay un tipo de ataques también muy peligrosos, que pueden hacer ganar a los cibermalos mucho dinero y que reciben algo menos de atención mediática.

Nos referimos al BEC o Business Email Compromise, que supone comprometer una cuenta de correo electrónico de un empleado que suele ser directivo o tener una buena posición en una organización para, posteriormente, difundir otras amenazas o engañar a otros. 

 

Según el FBI, hasta ahora el BEC ha supuesto una pérdida total de 43.000 millones de dólares desde su nacimiento en 2016, una cifra que no deja de crecer. Estos ataques ya se han perpetrado en 177 países. 

Lo que convierte al Business Email Compromise en tan peligroso es que no hace falta que los ataques sean ejecutados por hacker con muchos conocimientos técnicos o altamente cualificados. Los actores de amenazas solo necesitan un portátil con una conexión a Internet, un poco de paciencia y una dosis de malas intenciones.

Los ciberdelincuentes solo tienen que averiguar quién es el jefe de una compañía y configurar una dirección de email falsa. Desde aquí, mandan una solicitud a un empleado diciendo que necesitan que una transacción financiera se lleve a cabo de manera rápida y discreta.

Aunque es un ataque de ingeniería social muy básico, a menudo funciona, según se expone en Zdnet. Los trabajadores pasan por el aro, pensando que puede ser su jefe auténtico y que si no hacen lo que se les pide pueden ser castigados al estar retrasando una transacción importante. 

En los casos más avanzados de BEC los cibermalos obtienen acceso a una cuenta de email real de un directivo o responsable y ya pueden campar a sus anchas. Además de pedir transacciones de ese tipo (a sus cuentas, claro), pueden solicitar documentación sensible o dar órdenes de otro tipo. Cuando las víctimas son conscientes de lo ocurrido, ya es demasiado tarde. 

Cómo evitar caer en ataques BEC

El principal problema del Business Email Compromise es que aunque se cuenta con un buen antivirus o un certero filtro de correo, no sirven para nada.

Al ser una amenaza basada en la naturaleza humana, la tecnología da absolutamente igual. Además, el dinero no se sustrae por hacer click en un enlace malicioso o usando malware para vaciar una cuenta. Este se transfiere normalmente al creer que es una operación necesaria. 

Para combatir estos tipo de ataques se recomienda impartir educación sobre ciberseguridad dentro de las organizaciones. Es importante que los empleados entiendan que su superior no va a pedirles una transferencia cuantiosa y urgente sin permitir preguntas. Y si hay dudas sobre el origen de la orden, siempre se puede tirar de teléfono u otro medio para preguntar a la persona que escribe si la solicitud es legítima o no. 

Otra fórmula es que las organizaciones dispongan de procedimientos concretos para este tipo de transacciones financieras. Deben asegurarse de que para hacerlas varias personas tengan que aprobar el proceso.