Ataques BEC: El nuevo reto de la ciberseguridad organizacional

Lima.- Asegurar un entorno seguro y eficiente es el reto de toda organización. Los piratas informáticos están cada vez más inmersos en los
procesos de ejecución. Sus acciones más comunes son el robo de datos, afectación a la reputación, ganancias financieras u objetivos similares. Sin embargo, existe otro ataque orientado a los resultados de una empresa, denominado ataque de compromiso electrónico comercial (BEC).

Mediante un correo electrónico engañoso, incluyendo un factura falsa y hurto de identidad de una persona que posea alto nivel, el atacante presiona a su destinatario a realizar transferencias sin la necesidad de aprobación. Asimismo, la estrategia de los ataques BEC emplea herramientas del phishing tradicional e ingeniería social para la elaboración de tarjetas de regalo sofisticadas. Pese a la tecnología baja con la que se maneja, el nivel de efectividad durante este fraude, según un estudio realizado por IC3, son ataques 62 veces más rentables que los ransomware. Los ataques BEC han significado pérdidas empresariales de más de 1800 millones de dólares solo en el 2021 y se estipula como uno de los ataques financieros más devastadores.

La dirección del mensaje muchas veces está dirigida hacia los colaboradores. Esto se debe a una investigación previa y designación de correo específicamente a la persona que realiza las transferencias bancarias. A su vez, este correo electrónico está redactado para generar urgencia en el receptor, lo que conduce a desviarlos de sus actividades habituales para abrirlo. En resumen, estudian correctamente a su público objetivo para lograr resultados con más probabilidades de éxito.

Para evitar posibles ataques de esta naturaleza, Bitdefender elaboró un listado de acciones empresariales de defensa que debes tomar en cuenta:

1. Capacitación de concientización sobre ciberseguridad: Si tu equipo laboral no sabe a los peligros que se enfrenta, entonces estarás en desventaja. Por ello, tus colaboradores se deben informar constantemente sobre los tipos de ataques en la red y cómo enfrentarlos.
2. Capacitación específica sobre el BEC: Desde cómo aprender a detectarlos hasta las nociones más básicas de sus estrategias, los equipos de alto riesgo encargados de las finanzas deben contar con estos conocimientos.
3. Capacitación de simulación: Escenificar casos reales es imprescindible. Los capacitará en el ámbito práctico de la amenaza y detectará a qué nivel se encuentra preparado nuestro personal colaborador.
4. Políticas de transferencia: Esto ofrecerá mayor cobertura de verificación a fin de señalar cualquier correo dudoso. Las políticas designadas detendrán el procedimiento del pago si es que no tiene la aprobación de las partes estipuladas.
5. Monitoreo y detección: Se filtrará mediante herramientas de software posibles dominios sospechosos dentro de la bandeja de mensajes. La finalidad aquí es evitar correos automatizados y reducir la cantidad de apariciones en los buzones de nuestros colaboradores.