theNet by CLOUDFLARE

Los ataques al correo electrónico corporativo son cada vez más costosos

Descubre cómo la seguridad tradicional del correo electrónico no es suficiente

Los ataques al correo electrónico corporativo resultan costosos

El año pasado, los ciberdelincuentes robaron 2,3 millones de dólares de la ciudad de Peterborough, New Hampshire, utilizando ataques basados en el correo electrónico. Lo que es peor, las pérdidas se atribuyen a dos ataques distintos del mismo grupo delictivo, lo que significa que el departamento financiero de Peterborough podría haber minimizado los daños si se hubiera dado cuenta antes del error.

Pero hay una razón por la que el departamento no cuestionó los mensajes. Los correos electrónicos no solo eludían los filtros. También parecían totalmente legítimos. Los mensajes carecían de errores gramaticales, no procedían de remitentes desconocidos ni contenían enlaces sospechosos asociados a correos maliciosos. Utilizando unos pocos mensajes estratégicamente colocados, los atacantes consiguieron hacerse pasar por un distrito escolar y, más tarde, por una empresa constructora, y desviaron millones en fondos municipales a sus propias cuentas.

El departamento financiero de Peterborough había sido víctima de una estafa muy selectiva y difícil de detectar, un ataque al correo electrónico corporativo (BEC).

El ataque al correo electrónico corporativo (BEC) es una táctica de phishing que no se basa en enlaces maliciosos o en malware. Los ataques suelen consistir en uno o dos correos electrónicos en los que el atacante se hace pasar por una entidad conocida y de confianza, ya sea un proveedor, un empleado, etc., para engañar al destinatario para que transfiera fondos a una cuenta que el atacante controla.

Debido a su naturaleza selectiva, el ataque al correo electrónico corporativo (BEC) no es el tipo más habitual de ataque por correo electrónico, pero puede ser uno de los más devastadores. En una muestra de 31 millones de amenazas al correo electrónico, Cloudflare descubrió que los ataques al correo electrónico corporativo representaban el menor volumen de ataques, un 1,34 %, pero eran responsables de pérdidas por valor de unos 354 millones de dólares, con pérdidas individuales promedio de 1,5 millones de dólares.

Mientras que los atacantes muestran cada vez más destreza para explotar la confianza, la seguridad tradicional del correo electrónico es ineficaz para prevenir los ataques al correo electrónico corporativo. Para protegerse a sí mismas y a sus empleados, las organizaciones necesitan estrategias modernas y proactivas. Por ejemplo, la identificación y neutralización preventivas de la infraestructura del atacante puede bloquear los ataques al correo electrónico corporativo antes de que se produzcan. Al mismo tiempo, el análisis contextual puede señalar los mensajes que eluden los filtros o proceden de cuentas internas en riesgo. La modernización de la seguridad del correo electrónico con estrategias como estas puede proteger a las organizaciones contra estos costosos ataques.


Cómo la seguridad tradicional del correo electrónico no logra su función

Las estrategias tradicionales de seguridad del correo electrónico no se crearon para hacer frente a los ataques al correo electrónico corporativo y, en última instancia, dejan vulnerables a las organizaciones. Estas tácticas incluyen:

  • Filtros integrados y puertas de enlace de correo electrónico seguras (SEG): el filtrado de correo electrónico integrado de proveedores como Microsoft o Google es más adecuado para identificar el correo no deseado que para los intentos de ataque al correo electrónico corporativo. Las puertas de enlace de correo electrónico seguras (SEG) también filtran los correos sospechosos, pero tienen dificultades para identificar los ataques al correo electrónico corporativo y se solapan considerablemente con la funcionalidad de correo electrónico integrada (lo que también las hace redundantes).

  • Autenticación del correo electrónico: configurar registros Sender Policy Framework (SPF), DomainKeys Identified Mail (DKIM) y Domain-based Message Authentication Reporting and Conformance (DMARC) puede ayudar a evitar la suplantación de identidad de correo electrónico. Sin embargo, estas medidas no funcionan contra los correos electrónicos procedentes de cuentas legítimas, que son habituales en los ataques al correo electrónico corporativo.

  • Vigilancia de los empleados: Cloudflare descubrió que el 92 % de los correos electrónicos denunciados por los usuarios no se consideran maliciosos. Este elevado volumen de falsos positivos crea fatiga de alertas para los equipos de seguridad.


Tipos de ataques al correo electrónico corporativo y en qué se diferencian del correo no deseado

Los detalles de las estafas de los ataques al correo electrónico corporativo y los daños que causan varían según de qué tipo sean, pero todos ellos se basan en la explotación de la confianza:

  • Falsificación de remitente o dominio de la ejecutiva: estos correos electrónicos utilizan a un ejecutivo como señuelo. El atacante falsifica el nombre del ejecutivo o el dominio de la empresa objetivo. Luego, haciéndose pasar por el ejecutivo, el atacante pide a un empleado que realice una transacción financiera, como transferir dinero o comprar tarjetas regalo.

  • Cuenta de empleado en riesgo: un método más sofisticado, este tipo de apropiación de cuenta interna utiliza una cuenta de empleado en riesgo como punto de entrada. Al apropiarse de la cuenta de un empleado real (normalmente mediante contraseñas robadas), el atacante se hace pasar por el empleado y pide a un colega (la víctima) que le ayude a completar una transacción financiera.

  • Suplantación de proveedor: en este ataque, un ciberdelincuente se hace pasar por un proveedor con una relación existente con la organización objetivo. Como el remitente suplantado es externo a la organización, es posible que las víctimas, desprevenidas, no se den cuenta de las señales reveladoras.

  • Proveedor en riesgo/infiltrado: es el tipo de ataque al correo electrónico corporativo más avanzado, y su ejecución puede llevar meses. Estos ataques primero ponen en riesgo a un proveedor o socio de la cadena de suministro mediante la apropiación de una o más cuentas de correo electrónico. El atacante observa silenciosamente los hilos de correo electrónico legítimos, y luego se introduce en la conversación en el momento adecuado, dirigiendo las solicitudes de pago a una cuenta controlada por él. En algunos de estos ataques a la cadena de suministro, es posible que la víctima ni siquiera sepa que ha sufrido pérdidas económicas hasta una futura auditoría.

Todos estos tipos de ataque pueden compartir ciertas características, como la ingeniería social y la creación de urgencia. Los atacantes manipulan al destinatario no solo para que confíe en ellos, sino también para que actúe con rapidez antes de que puedan levantar sospechas. A menudo, alegan razones por las que el destinatario no debería hacer preguntas de seguimiento antes de completar la tarea solicitada. Por ejemplo, un correo electrónico de ataque supuestamente del director general puede indicar que está a punto de tomar un vuelo y que no estará disponible durante unas horas.

Para complicar aún más el tema, el estilo altamente selectivo y de bajo volumen de estos ataques a menudo elude los filtros de correo electrónico existentes, que se basan en grandes volúmenes de ataques para agregar datos. Para que las políticas de amenazas funcionen adecuadamente, los filtros de correo electrónico necesitan estos datos para "aprender" que elementos como los dominios, las direcciones IP y el malware deben considerarse sospechosos. Aunque esto ayuda a filtrar los mensajes de correo electrónico no deseado tradicionales, es insuficiente contra la precisión de los ataques al correo electrónico corporativo. Los ciberdelincuentes pueden crear direcciones de correo electrónico totalmente nuevas, falsificar dominios o apropiarse de cuentas de correo legítimas, y probablemente nada de ello sería detectado por las funciones de seguridad integradas en el correo electrónico.


Diseñar un enfoque moderno a la seguridad del correo electrónico

Para luchar con eficacia contra los ataques al correo electrónico corporativo, las empresas deben configurar sus estrategias en torno a los siguientes principios:

  • Defensa proactiva: en lugar de esperar a que los correos electrónicos maliciosos lleguen a la bandeja de entrada de los empleados, la tecnología predictiva puede explorar la infraestructura de los atacantes (por ejemplo, direcciones de correo electrónico nuevas o dominios fraudulentos) y bloquear preventivamente al remitente. Esto puede reducir el riesgo de que un empleado entre en contacto con el correo electrónico de un atacante antes de que sea detectado.

  • Análisis contextual: por ejemplo, la tecnología de procesamiento del lenguaje natural (NLP) puede analizar el sentimiento de los mensajes, lo que puede ayudar a identificar el lenguaje "urgente". Además, la tecnología de visión artificial puede ayudar a detectar los sitios web de phishing que suelen complementar los ataques. Otras soluciones son el análisis de hilos, que puede ser útil cuando los atacantes se introducen en un hilo existente, y el análisis de los perfiles de los remitentes, para determinar qué riesgo conllevan.

  • Protección continua: no es suficiente filtrar los mensajes a su llegada, sobre todo porque algunos correos electrónicos eluden inevitablemente los filtros. Además, los correos electrónicos maliciosos suelen ser solo una parte de un ataque mayor, por lo que es importante la protección más allá de la bandeja de entrada. Por ejemplo, si un correo electrónico malicioso pasara los filtros y un empleado hiciera clic en un enlace sospechoso, la página web podría cargarse en un navegador remoto aislado. De esta forma, el empleado y su dispositivo estarían protegidos. Este tipo de protección continua es necesario para aplicar estrategias de seguridad más integrales, como Zero Trust.

  • Implementación multimodo: la implementacion de algunas soluciones de seguridad del correo electrónico, como las puertas de enlace del correo electrónico seguras, debe realizarse en línea. Este enfoque implica cambiar el registro de intercambio de correo (un registro DNS que dirige los correos electrónicos a los servidores de correo). Este método funciona mejor para los correos externos, porque se sitúa frente a la bandeja de entrada del usuario e inspecciona todo el correo entrante y saliente. En cambio, la configuración de soluciones implementadas mediante API suele ser más rápida. Sin embargo, un enfoque basado únicamente en las API tiene el inconveniente de no anticiparse a los ataques, lo que implica la posibilidad de que un usuario interactúe con un correo electrónico antes de que este se neutralice. Una implementación multimodo (o que admita la implementación en línea o mediante API) es mejor, porque puede proteger a los equipos contra las amenazas internas y externas, así como contra los mensajes, antes y después de la entrega.

  • Preparación para el futuro y automatización: busca soluciones que no dependan del hardware (que puede requerir un mantenimiento costoso o quedarse obsoleto con el tiempo), que gestionen los informes de incidentes automáticamente (liberando tiempo de los equipos de seguridad) y que no requieran la creación manual significativa de políticas de amenazas (que pueden ralentizar la protección y nunca dar cuenta por completo de todas las amenazas posibles).

Una estrategia moderna de seguridad del correo electrónico basada en estos principios ofrecerá una protección integral contra los ataques al correo electrónico corporativo y otras formas de phishing en todas las fases del ciclo de ataque, para proteger mejor los recursos y los datos de la organización.


Evita los ataques de phishing de forma preventiva

Cloudflare ofrece seguridad del correo electrónico nativa de la nube, que identifica de forma proactiva la infraestructura de los atacantes al tiempo que ofrece protección continua contra los ataques al correo electrónico corporativo y otras formas de ataques por correo electrónico.

Como parte de la plataforma Cloudflare Zero Trust, que protege las aplicaciones y la navegación de los empleados para evitar el malware, el phishing y la pérdida de datos, la integración de la seguridad del correo electrónico con los servicios Zero Trust elimina la confianza implícita en el correo electrónico para ayudar a los clientes a impedir los ataques de phishing y al correo electrónico corporativo.

Este artículo forma parte de un conjunto de publicaciones sobre las últimas tendencias y temas que afectan a los responsables de la toma de decisiones sobre tecnología en la actualidad.



CONCLUSIONES CLAVE

Después de leer este artículo podrás entender:

  • Las razones del aumento de los ataques al correo electrónico corporativo (BEC)

  • En qué se diferencian los los ataques al correo electrónico corporativo (BEC) del correo electrónico no deseado

  • Por qué las estrategias tradicionales de seguridad del correo electrónico no funcionan contra los ataques al correo electrónico corporativo

  • Cómo modernizar las estrategias de seguridad del correo electrónico y evitar los ataques al correo electrónico corporativo


Recursos relacionados


Más información sobre este tema

Más información sobre la creación de un enfoque proactivo para la seguridad del correo electrónico con Cloudflare.

¿Quieres recibir un resumen mensual de la información más solicitada de Internet?