La mayoría de las organizaciones, con o sin un modelo de trabajo híbrido, dependen en gran medida del sistema de correo electrónico para realizar negocios entre proveedores y vendedores, personal, clientela y socios. Por esta razón, el compromiso y daño a la marca es alto, ya sea económico o de reputación. Los ataques basados en el correo electrónico han dominado el panorama de amenazas desde hace años.
Fue en 2013 cuando el FBI comenzó a rastrear esta amenaza financiera emergente conocida como “business e-mail compromise" (BEC, por sus siglas en inglés). Desde entonces, grupos cibercriminales han comprometido a empresas y organizaciones de todos los tamaños y sectores. De acuerdo con datos del FBI, las pérdidas ascienden a miles de millones de dólares y van en aumento.
En esencia, este vector de ataque se basa en el truco más antiguo del manual de quienes se dedican a realizar estafas: el engaño. Está diseñado para engañar a las víctimas, haciéndoles creer que han recibido un correo electrónico enviado por líderes de su lugar de trabajo, generalmente de puestos directivos, pidiéndoles que realicen alguna transferencia bancaria (mejor conocido como fraude electrónico), información sensible personal o de la empresa, o que entreguen sus credenciales.
El compromiso del correo electrónico empresarial es uno de los tipos de ataques más comunes y perturbadores a los que se enfrentan las organizaciones. Desafortunadamente, en la actualidad, la mayoría de las organizaciones no cuentan con los protocolos adecuados para asegurar sus canales de comunicación, especialmente el correo electrónico.
El BEC es una amenaza grave y tiene capacidad a escala mundial. Sus niveles de sofisticación y alcance son cada vez mayores, ya que los grupos cibercriminales que llevan a cabo estos fraudes están perfeccionando continuamente sus técnicas, es decir, cada vez es más complicado que personas usuarias reconozcan que están frente a una ciberamenaza que evoluciona y adopta nuevas formas.
Si bien algunos ataques BEC implican el uso de malware, muchos se basan en técnicas de ingeniería social, ante las cuales los antivirus o los filtros de spam son ineficaces. Para mitigar el riesgo, una de las acciones más importantes y urgentes es capacitar al personal de las organizaciones, elaborar una estrategia de prevención interna y, contar con una empresa aliada de ciberseguridad.
En México y América Latina, Metabase Q, combina las medidas de seguridad del correo electrónico con la educación y las mejores prácticas para ayudar a las organizaciones evitar posibles ciberataques de BEC. No olvidemos que, aunque los ataques BEC no son tan conocidos como el ransomware y otras formas de ciberdelincuencia, no dejan de ser una amenaza muy importante para organizaciones de todos los tamaños y sectores.
POR ALEXANDRA MOGUEL
@METABASEQ
WWW.METABASEQ.COM
PAL