Comprometer correos electrónicos corporativos (BEC, por sus siglas en inglés) es el tipo de ataque de phising más lucrativo y de mayor crecimiento actualmente: 45% de los ataques de phishing son de este tipo, de acuerdo con el Índice de Inteligencia de Amenazas X-Force de IBM 2019.
Juan Francisco García, líder de la Unidad de negocio de Seguridad en IBM de México, indicó que los ataques BEC están dirigidos a ejecutivos top level de las organizaciones. “Como tienen la capacidad de ejecutar transacciones económicas muy grandes y acceso a información privilegiada dentro de las compañías, los hackers apuntan a estas personas para obtener mayores beneficios que si lo hicieran contra cualquier empleado de una empresa”.
Para generar este reporte anual, el ejecutivo dijo que los equipos de investigadores X-Force de IBM monitorean diariamente datos de 70 mil millones de incidentes de seguridad al día en más de 130 países. Mediante sensores de spam y redes, detectan decenas de millones de ataques spam y phishing luego de analizar millones de páginas web e imágenes para detectar actividades fraudulentas.
BEC, ingeniería social y falta de sentido común
Los ataques tipo BEC, también conocidos como ‘fraude de CEO’ se hacen mediante un supuesto correo electrónico de altos ejecutivos de las compañías que se envía a quienes controlan las cuentas bancarias y les indican que hagan una transferencia confidencial. Puede darse el caso de que esté en trámite la firma de un contrato; llega el coreo que solicita que se haga un depósito urgente para proceder con el trámite.
Aquí, García subraya que ante una situación como esta debería prevalecer el sentido común y tratar de contactar directamente a la persona para corroborar lo que está pasando: “Si hay una cultura en la organización y proceso establecidos, es posible contener ese tipo de estafa. Quienes trabajan alrededor de estos ejecutivos tienen que estar atentos para identificar señales que pudieran ser alarmas y aunque parezca reiterativo, verificar antes de proceder”.
El reporte señala que el FBI ha detectado costos 12,500 millones de dólares a las empresas afectadas por este tipo de fraude electrónico. Por su impacto económico, BEC es una de las vulneraciones con mayor crecimiento, tanto en Estados Unidos, como a nivel mundial.
Respuesta a incidentes, clave en un plan de ciberseguridad
En conferencia de prensa previa al IBM Security Summit, que se llevó a cabo la tarde del jueves en la Ciudad de México, García se refirió también al cuarto Estudio de Ciber Resiliencia 2019. En este, se detectó que 77% de las organizaciones no cuenta con un plan de respuesta a incidentes de ciberseguridad.
De las compañías que sí tienen uno, 54% no realiza pruebas de manera regular. Para el estudio se hizo un sondeo para saber si las compañías habían sufrido al menos una vulneración a sus datos o un incidente de ciberseguridad en los últimos dos años. 60% reconoció que sí; 35% dijo que no, pero 5% indicó que no estaba seguro.
El directivo consideró que “para estar protegidas, las empresas tienen que prepararse, saber qué hacer cuando suceda un ataque y cómo reaccionar ante este, eso las hace ciber resilientes e incluso les puede permitir acortar el tiempo para reaccionar ante incidentes”.
Por último, el ejecutivo también citó que las empresas afectadas por una vulneración de datos pierden en promedio $3.92 millones de dólares, como señala el reporte Costo de una vulneración de datos 2019, realizado por el Instituto Ponemon e IBM.
