Compromiso de Correo Electr贸nico Empresarial (CCEE): qu茅 es y c贸mo proteger a las empresas

| |

Explicamos Compromiso de Correo Electrónico Empresarial (CCEE): qué es y cómo proteger a las empresas desde la perspectiva de un especialista en el tema.

Compromiso de Correo Electrónico Empresarial (CCEE): qué es

De acuerdo con Christopher Budd, gerente sénior global de comunicaciones sobre amenazas en Avast, el Compromiso del Correo Electrónico Empresarial (CCEE) es una amenaza de ciberseguridad de rápido crecimiento que enfrentan las empresas, especialmente las pequeñas y medianas (Pymes).

El Centro de Quejas de Delitos en Internet (IC3) del FBI reportó en su Informe de Delitos en Internet de 2020 que recibió 19 mil 369 quejas de Compromiso de Correo Electrónico Empresarial (CCEE) que suman más de 1.8 mil millones de dólares en pérdidas ajustadas en los Estados Unidos para ese año.

Características de los ataques CCEE

Los ataques de CCEE utilizan principalmente el correo electrónico, pero pueden llevarse a cabo mediante mensajes SMS, mensajes de correo de voz e incluso llamadas telefónicas.

Este tipo de ataque son notables porque se basan en gran medida en las llamadas técnicas de «ingeniería social», lo que significa que utilizan trucos y engaños contra las personas.

Pueden ser muy efectivos y cualquiera puede ser víctima de ellos, sin importar cuán rico o sofisticado sea. En febrero de 2020, Barbara Corcoran — la empresaria estadounidense, inversora y jueza del reality show empresarial de televisión “Shark Tank” — casi pierde cerca de 400 mil dólares en una estafa de CCEE.

Afortunadamente, su rápido accionar le permitió recuperar el dinero, pero las estadísticas del FBI muestran que no todo el mundo tiene tanta suerte, recuerda Budd.

El software de seguridad tradicional no siempre protege contra ellos. Eso significa los integrantes de las empresas desempeñan un papel importante en la protección contra ellos.

¿Cómo funcionan los ataques de CCEE?

Si bien hay muchas formas en que los ataques de CCEE pueden desarrollarse, todas se reducen a una fórmula en la que un atacante intentará convencer a un empleado de que envíe dinero a los atacantes haciéndose pasar por alguien en quien el empleado confía.

Los atacantes a menudo intentan mejorar sus oportunidades de manipular a la víctima de dos maneras. Primero, intentan hacer que su ataque sea creíble por la persona que eligen suplantar, señala el especialista de Avast.

En segundo lugar, intentan crear un sentido de urgencia para que sea menos probable que la víctima prevista cuestione la transacción y que siga los canales adecuados para los pagos que podrían detectar la estafa.

A veces, los atacantes combinan inteligentemente estas dos tácticas para lograr una mayor efectividad.

Por ejemplo, “un tipo de ataque de CCEE que hemos visto involucra a un empleado que recibe un mensaje urgente del director ejecutivo u otro ejecutivo de alto nivel diciendo que necesita que el empleado pague una factura vencida u obtenga tarjetas de regalo para un evento urgente de la empresa”, destaca.

Estos pueden ser correos electrónicos o mensajes de texto, pero los atacantes incluso han utilizado tecnología deep fake para imitar mensajes y llamadas de correo de voz.

En otro tipo de ataque de CCEE, los atacantes usan cuentas de correo electrónico falsas y comprometidas para convencer a un empleado de que están tratando con un proveedor legítimo.

Los atacantes pueden intercambiar varios correos electrónicos con la víctima prevista para convencerla de que es un proveedor real y luego enviarle una factura falsa. Así se llevó a cabo el ataque contra Barbara Cocoran.

Un tercer tipo de ataque de CCEE se dirige a la nómina de las empresas. En estos, los atacantes se hacen pasar por empleados e intentan que el personal de nómina de la empresa cambie la información de depósito directo del empleado a su propia cuenta bancaria.

El objetivo es obtener dinero de una de estas dos formas: transferencia electrónica de fondos (incluida la criptomoneda) o tarjetas de regalo.

457453dw 1024x586 - Compromiso de Correo Electrónico Empresarial (CCEE): qué es y cómo proteger a las empresas
Compromiso de Correo Electrónico Empresarial (CCEE)
Cómo puedes protegerte contra los ataques de CCEE

Debido a que estos no son ataques basados en la tecnología, significa que las soluciones basadas en la tecnología no serán tan efectivas contra estos ataques como lo son, por ejemplo, contra el ransomware, asegura Budd.

Un correo electrónico de CCEE bien hecho, por ejemplo, es difícil que un software de seguridad lo distinga de uno legítimo, especialmente si proviene de la cuenta real, pero comprometida, de alguien en quien uno confía.

Esto significa que la protección contra los ataques de CCEE debe centrarse en dos cosas: el empresario y la empresa.

Primero, infórmate y a tus empleados sobre los ataques de CCEE. Tú y tus empleados deben aprender a sospechar cuando un correo electrónico inesperado y repentino del director ejecutivo les dice: «Necesito que obtengas 5 mil dólares en tarjetas de regalo para una fiesta de cumpleaños hoy, envíame los números y no le digas a nadie». Es uno de los principales pasos en la prevención de estos ataques.

En segundo lugar, refuerza la importancia de verificar las solicitudes de pago y seguir las reglas establecidas para pagar facturas, cambiar la información de depósito directo y comprar y enviar tarjetas de regalo.

Por ejemplo, informa a los empleados que deben llamar a un empleado o proveedor para solicitar el pago. Asegúrate de que sepan usar el número que tienen registrado y que verifiquen que la factura o solicitud sea legítima antes de hacer cualquier otra cosa.

Enfatiza que incluso si las solicitudes parecen provenir de personas de alto nivel en tu empresa, los empleados aún deben verificarlas.

Los atacantes intentan convencer a las víctimas de que mantengan estos ataques en secreto para aumentar sus posibilidades de éxito y se aprovechan de la renuencia de los empleados a cuestionar a las autoridades. Deja en claro que los empleados pueden y deben plantear preguntas en situaciones como esta.

En última instancia, los ataques de CCEE tienen éxito porque los atacantes engañan a sus víctimas haciéndoles creer su engaño. Si bien los ataques de CCEE utilizan tecnología, en realidad son solo una versión moderna de fraudes y estafas ancestrales. Por lo tanto, frustrarlos requiere adaptarse a las nuevas formas en que operan estos viejos fraudes.

La buena noticia es que con la formación y la educación adecuadas y siguiendo las políticas y los procedimientos adecuados, puedes frustrar estos ataques.

876544edd 1024x584 - Compromiso de Correo Electrónico Empresarial (CCEE): qué es y cómo proteger a las empresas
Ataques Compromiso de Correo Electrónico Empresarial (CCEE)

Leíste: Compromiso de Correo Electrónico Empresarial (CCEE): qué es y cómo proteger a las empresas, te recomendamos: ¿Cómo evitar ransomware?

Síguenos en nuestras redes sociales:

Twitter

Facebook

Youtube

Previous

Surface Hub 2S de 85鈥 est谩 disponible en M茅xico para empresas

WhatsApp Business anuncia actualizaciones de su API

Next