Ataques BEC y EAC: ¿Cuáles son las diferencias y cómo protegernos?

Ataques BEC y EAC: ¿Cuáles son las diferencias y cómo protegernos?

Diferentes, pero no tanto

Para empezar, debemos aclarar que los ataques BEC (Business Email Compromise, por sus siglas en inglés) y los ataques EAC (Email Account Compromise) tienen igual objetivo: Ganar dinero o robar información confidencial.

Tanto uno como otro se basan en ingeniería social, aprovechando que es mucho más sencillo engañar a una persona desinformada que saltar las barreras tecnológicas de seguridad de una organización. A ello se suma la realidad de muchas compañías que aún no asumen las crecientes amenazas y por lo tanto, no fortalecen la capa humana, la barrera más importante de defensa.

De los ataques BEC y EAC se derivó por ejemplo, el famoso Fraude del CEO: un ataque de ingeniería social, donde los ciberdelincuentes suplantan la identidad de un alto ejecutivo mediante correo electrónico. El fin más común es lograr que la víctima del engaño envíe dinero a una cuenta fraudulenta.

Entonces, si el objetivo es el mismo, ¿qué diferencia a estos dos ataques? El proceso de suplantación de identidad.

Ataques BEC (Business Email Compromise)

Los ciberdelincuentes utilizan diversas técnicas para hacerse pasar por otra persona, por ejemplo:

Es importante destacar que los ciberdelincuentes no obtienen acceso a la cuenta de email que desean suplantar sino que, a través de estas técnicas, envían correos en su nombre.

Ataques EAC (Email Account Compromise)

Los ciberdelincuentes comprometen la cuenta de correo de su víctima utilizando diversas técnicas:

Este tipo de ataque es más sofisticado. La ventaja para el ciberdelincuente es el acceso a toda la información que su víctima posee en su correo electrónico:

  • Historial de correos y destinatarios comunes
  • Archivos adjuntos enviados y recibidos
  • Firma
  • Configuraciones

El sólo hecho de comprometer la cuenta de su víctima, como puede verse, es para los atacantes una mina de oro.

Pero muchos no se conforman con esto, sino que además se aseguran de mantener el acceso a la cuenta en el tiempo, creando reglas de reenvío de correos o cambiando los permisos. Así, monitorean de manera cercana a su víctima y pueden realizar una inteligencia certera de la organización.

Con este conocimiento y capacidad de acceso, pueden intervenir en cualquier conversación y enviar correos realmente convincentes en nombre de la víctima en el momento más adecuado, y lograr así sus objetivos.

Cómo protegernos

Como siempre proclamamos, la mejor manera de enfrentar un riesgo es mediante una estrategia de seguridad en capas.

Por un lado, necesitamos de las medidas técnicas necesarias para proteger los dominios de nuestra organización de ser suplantados, realizar hardening de nuestros servidores de correo y disponer de herramientas tecnológicas que nos ayuden a detectar las distintas técnicas de intrusión de los ciberdelincuentes.

Por otro lado, debemos desarrollar un plan de concientización de los usuarios, generando compromiso e involucramiento en la seguridad de la información mediante contenidos significativos para su vida personal y profesional.

Al tener sus cimientos en la Ingeniería Social, un gran porcentaje de los ataques BEC o EAC eluden con éxito a las herramientas tecnológicas de seguridad, o directamente ocurren fuera del dominio de éstas, a través de correo personal, aplicaciones de mensajería o llamados telefónicos.

Un usuario concientizado respecto a este tipo de ataques, estará atento y podrá detectarlos, reportarlos y prevenir convertirse en víctima de los ciberdelincuentes. Las personas se convierten en el arma más importante contra la ingeniería social.

Al incluir al usuario final en la estrategia de seguridad, estaremos realizando además una inversión transversal que actúa sobre todos los niveles de nuestras organizaciones y sus beneficios pueden medirse de manera objetiva y sin esfuerzo, mediante las herramientas apropiadas.

Reflexiones finales

Existen muchos reportes donde se pueden apreciar las grandes pérdidas financieras producto del BEC y EAC. Además, en la última década, todos los informes de ciberseguridad señalan al Phishing como la principal puerta de entrada de los ciberdelincuentes a nuestras organizaciones.

Si no eres del grupo de personas que confía en alcanzar la seguridad al 100% mediante soluciones tecnológicas, ¿crees que tus usuarios ya están preparados para evitar un compromiso de sus cuentas? ¿Consideras que podrían reconocer un ataque de este estilo?

Nicolás Bruna

Product Manager de SMARTFENSE. Su misión en la empresa es mejorar la plataforma día a día y evangelizar sobre la importancia de la concientización. Ha escrito dos whitepapers y más de 150 artículos sobre gestión del riesgo de la ingeniería social, creación de culturas seguras y cumplimiento de normativas. También es uno de los autores de la Guía de Ransomware de OWASP y el Calculador de costos de Ransomware, entre otros recursos gratuitos.

Deja una respuesta