El número de ataques Business Email Compromise (BEC) ha crecido exponencialmente hasta registrar pérdidas por valor de 12.000 millones de dólares en organizaciones globales durante 2018.
La cadena de suministro es uno de los elementos más importantes en los que se apoya la actividad diaria de una empresa. Crear una red de proveedores externos y socios de confianza resulta fundamental para llevar a cabo los distintos procesos por los que pasa un bien o servicio hasta convertirse en un producto y llegar al cliente final. Hoy en día, sin embargo, el concepto de la cadena de suministro ha dejado ser lineal para considerarse un sistema más interconectado, que requiere a su vez de comunicaciones fiables y seguras.
Dado que la mayor parte de los negocios en la actualidad se efectúa a través de internet, es necesario proteger las comunicaciones por correo electrónico entre los distintos actores de la cadena de suministro. Desde Proofpoint, una de las empresas líderes en ciberseguridad y cumplimiento normativo, se advierte a las organizaciones sobre la importancia de dotar de seguridad a este canal de comunicación, verificando la integridad de los emails recibidos por parte de partners, especialmente de aquellos con unos métodos de protección menos sólidos, así como de los peligros que puede conllevar si no se presta la atención necesaria.
“La cadena de suministro se extiende más allá de proveedores y socios de confianza, incluyendo a empresas con varios departamentos y niveles de seguimiento de gastos, servicios cloud a través de reembolso y otras relaciones ad hoc que no suelen recogerse en los sistemas de gestión de riesgo empresarial. Por tanto, es crucial identificar aquellos mails a proteger al margen de los ya tenidos en cuenta entre proveedores conocidos, a fin de asegurar la comunicación con todos ellos”, señala Fernando Anaya, responsable de desarrollo de negocio de Proofpoint para España y Portugal.
Una de las mayores amenazas a enfrentar en la cadena de suministro es la de los ataques Business Email Compromise (BEC), diseñados para engañar a los empleados a fin de que realicen una acción no autorizada con la que defraudar a la empresa o abrir las puertas a ataques secundarios. Sea cual sea el objetivo, la táctica que suelen utilizar los atacantes es hacerse pasar por partners o compañeros de trabajo en los que la empresa ya confía y abusar de las relaciones comerciales que han ido construyendo a lo largo de los años. Asimismo, se aprovecharán del conocimiento que el empleado tenga sobre la empresa, averiguarán su línea de mando e identificarán el mejor momento para enviar el mail fraudulento. A continuación, otros aspectos a tener en cuenta de los ataques BEC:
- Pérdidas por valor de más de 12.000 millones de dólares. El número de ataques BEC está creciendo exponencialmente. Según datos del FBI, las organizaciones globales han registrado pérdidas económicas que van desde los 2.000 millones de dólares en 2015, cuando se empezó a hacer seguimiento de este tipo de fraudes, hasta alcanzar los 12.000 millones de dólares en 2018.
- Más allá del ‘phishing’. Contrarios al phishing masivo, los ataques BEC son mucho más específicos. Otra diferencia radica en que el phishing incluye enlaces a webs o documentos maliciosos, mientras que las amenazas BEC utilizan la suplantación de identidad y otras tácticas de ingeniería social. Así, los cibercriminales intentan explotar las relaciones de confianza entre empleados y empresas, incitándoles a autorizar rápidamente una transferencia o a enviar información sensible.
- Explotación de las relaciones con proveedores de confianza. Los atacantes suelen echar mano de su conocimiento acerca de relaciones comerciales ya existentes para hacerse pasar por un proveedor o partner, a fin de engañar a la víctima para que, por ejemplo, pague una factura fraudulenta. La suplantación de identidad tiene mayor posibilidad de éxito cuando el atacante envía un correo como si viniese directamente desde el dominio legitimo del proveedor. Mientras que esta es una de las formas básicas de suplantación de identidad más fácilmente detectable, no todos los miembros de la cadena la usan.
- Diferenciación de conversaciones por correo electrónico. Dado que el vector principal de ataque es suplantar y explotar a proveedores y socios de confianza, es importante identificarlos y autenticarlos. Posteriormente, se puede añadir una nueva capa de protección frente ataques BEC a los correos que la empresa intercambia con ellos.
Con el objetivo de evitar los ataques BEC, Proofpoint establece las siguientes recomendaciones técnicas para configurar los ‘gateways’ de entrada y salida de las organizaciones, además de minimizar los riesgos del factor humano en torno a estas amenazas. Pese a que estas guías no cubren todas las comunicaciones en una empresa, sí pueden aplicarse para identificar proveedores y partners dentro de la cadena de suministro de confianza.
- Autentificar correos de salida, permitiendo que proveedores y partners verifiquen email legítimo.
- Verificar la autenticidad de correos entrantes para prevenir la suplantación de dominio.
- Requerir transmisión cifrada, protegiendo contra la interceptación y escucha de emails.
- Activar normas para la prevención de pérdida de datos, ya que pueden detectar una comunicación anómala entre diferentes partes.