¿Qué es el BEC? y cómo evitar ser su víctima

Miami, 21 de noviembre de 2017.- El esquema conocido como Afectación de Emails Corporativos (BEC por su sigla en inglés) es un uso que se le da al spearphishing (una forma de phishing[1]) en el que los atacantes pretenden ser ejecutivos u oficiales financieros de una organización con el fin de obtener acceso a fondos o información sensible. María Lobato, Directora de Marketing de Easy Solutions, explicó que, “entre enero de 2015 y diciembre de 2016, los ataques BEC aumentaron en 1300% y el Centro de Quejas de Crímenes en Internet del FBI reportó que entre octubre de 2013 y junio de 2016 los criminales intentaron robar más de US$5.300 millones en esquemas BEC”.

El “spearphishing” es una forma de phishing con un enfoque diferente: los atacantes seleccionan cuidadosamente a sus víctimas y utilizan ingeniería social para adaptar cada ataque según la identidad de la víctima a quién va dirigido.

“Los ataques de spearphishing son exitosos porque involucran un exhaustivo proceso de investigación y planeación por parte de los atacantes. Los emails son creados para parecer completamente legítimos; los atacantes pueden incluso investigar los intercambios de emails dentro de una organización para lograr que sus mensajes suenen lo más auténtico posible. Estos ataques usualmente toman la forma de solicitudes al área financiera para que se realicen transferencias de altas sumas de dinero. Incluso, el atacante puede aparentar ser un miembro del departamento de IT, sacando ventaja de la confianza del usuario para convencerlo de revelar sus credenciales”, destacó María Lobato, de Easy Solutions.

El Phishing sigue más vivo que nunca

Phishing es una de las formas más antiguas de fraude digital y no muestra signos de desaparecer pronto. De acuerdo al informe El Pulso del Cibercrimen 2017 de Easy Solutions, el 97% de las personas no puede reconocer con precisión un email de phishing y cerca del 30% de estos emails son abiertos por sus destinatarios. Teniendo en cuenta estos indicadores los creadores de estos ataques tienen serios incentivos para continuar con sus actividades delictivas.

De acuerdo al informe, en 2016, se crearon 13.000 sitios nuevos de phishing, con más de 400.000 visitas cada mes. Pero aún más alarmante es el hecho que, desde 2016, el número de sitios de phishing ha aumentado en 250%. “El bajo costo operacional para lanzar un ataque de phishing, combinado con que se necesita muy poco conocimiento técnico para hacerlo, hace de esta una estrategia muy llamativa para los criminales”, destacó la ejecutiva de Easy Solutions.

Al tiempo que agregó, “a medida que se vuelven más comunes, los ataques de phishing también se vuelven más sofisticados, lo cual causa que sea más difícil que la gente determine con certeza si un email, una página de redes sociales o incluso un sitio web es legítimo o producto de esfuerzos cibercriminales. Estos ataques solo seguirán avanzando, es decir, las organizaciones necesitan más de un mecanismo para proteger su marca y sus usuarios”.

4 Consejos de Easy Solutions para implementar una fuerte estrategia antiphishing

Un fuerte plan de seguridad multinivel puede reducir enormemente el riesgo de que su organización sea víctima de un ataque y de tener que enfrentar las consecuencias que esto pueda acarrear. Si bien educar a los usuarios finales sobre cómo identificar emails y sitios web falsificados resulta útil, esto solo puede funcionar como parte de una estrategia antifraude más grande y proactiva.

Estos son algunos consejos para proteger a su organización y usuarios finales contra el phishing:

  1. Fortalezca sus habilidades de detección, como el uso de tecnología de machine learning, para garantizar que los ataques sean eficientemente detectados.
  2. Implemente un protocolo de autenticación de emails como DMARC para reducir el riesgo de que mensajes falsos lleguen a las bandejas de entrada.
  3. Saque provecho de la autenticación multifactorial de usuarios para reducir el riesgo de brechas de cuentas.
  4. Asóciese con un proveedor que brinde monitoreo 24/7/365 para detectar y desactivar usos fraudulentos o maliciosos del nombre de su marca.

Seguir estos consejos le ayudará a proteger su organización de manera que cuando el siguiente ataque ocurra, pueda detenerlo antes de que llegue a ser lanzado. 

[1] Phishing vía email es un ataque muy común a través del cual los estafadores suplantan la identidad de una compañía con el fin de robar información sensible de la organización entidad y de sus usuarios. Estos emails son construidos a partir de ingeniosas técnicas de ingeniería social para convencer a sus potenciales víctimas de que en realidad se trata de mensajes legítimos.

  Share: