Imagina que eres un autónomo que, cada mes, hace determinadas actividades y servicios y manda por correo electrónico sus facturas a sus clientes, incluyendo todos los datos personales y bancarios.
Tus clientes reciben esos archivos en formato PDF, pero no exactamente tal y como se los habías enviado. De hecho, en esos documentos todo se muestra exactamente igual a como lo dejaste... a excepción de la entidad bancaria y el número de cuenta. Los datos bancarios que aparecen son los de otra persona que se lucrará con tu trabajo.
Esto, que puede parecer 'ciencia ficción' o un 'cuento de terror para freelances' está ocurriendo realmente y le está pasando a unas cuantas pymes españolas.
El resultado final es que el autónomo se queda sin cobrar su trabajo y la empresa se queda sin el dinero, pensando que ha pagado realmente a su proveedor. Ambas partes han sido estafadas e incluso la primera ha sido víctima de una suplantación de su identidad.
Por el camino, alguien ha 'metido la zarpa'. Los ciberdelincuentes son muy sutiles y estos cambios son apenas imperceptibles, ya que se hacen sobre el propio PDF enviado y usando la misma fuente tipográfica para añadir la nueva cuenta bancaria.
Pero, ¿Cómo lo hacen? Los actores de amenazas usan lo que se conoce como BEC (Business Email Compromise) que supone el compromiso de uno o varias cuentas de correo corporativas para poder acceder a otras herramientas o redes de una compañía. Basta con tener el control de la cuenta de un empleado para que los cibermalos hagan de las suyas y campen a sus anchas.
Este acceso no autorizado se puede conseguir de múltiples maneras, que van desde el phishing, el malware o usando la ingeniería social. Un ataque de relleno de credenciales, donde se usan usuarios y contraseñas que se han filtrado en brechas de datos, también puede abrir las puertas si una persona ha compartido su clave entre un servicio comprometido y otro de su compañía, como el correo de empresa.
Los actores de amenazas se aprovechan de cadenas de mensajes, 'secuestrando una conversación ya en curso sobre la transacción. “Dado que el mensaje del atacante forma parte de un hilo que la víctima objetivo cree razonablemente en su veracidad, su mensaje tiene mayor credibilidad. Así, un simple cambio en el número de una cuenta bancaria parece más verosímil”, apuntan desde Proofpoint.
“Por su propia naturaleza, los ataques de secuestro de hilos son muy difíciles, si no imposibles, de identificar por los usuarios, siendo un vector de amenaza en el que las contramedidas tecnológicas son especialmente necesarias y útiles”, añaden.
Además, esta compañía subraya que “el hecho de que la acción maliciosa se oculte en un PDF adjunto en apariencia inofensivo ralentiza la detección automática y puede confundir a las herramientas tradicionales de seguridad del correo electrónico. El nombre del proveedor es real. El nombre del remitente es real. El banco es real. Es una factura que está diseñada específicamente para parecer legítima, como una de tantas que reciben empresas de todo el mundo todos los días”.
Por su parte, Santiago Anaya Godoy, Global Chief Technology Officer de Cipher, división de ciberseguridad del Grupo Prosegur, explica que esta técnica es denominada 'estafa de transferencia bancaria fraudulenta' y ha sido perpetrada por varios grupos de ciberdelincuencia a nivel mundial.
Aunque en Escudo Digital pensábamos que se trataba de una amenaza relativamente reciente, parece que es mucho más antigua de lo que nos imaginábamos.
"Las primeras instancias documentadas de BEC se observaron alrededor de 2013, pero fue en 2015 cuando el FBI emitió una alerta sobre el aumento significativo de estos incidentes. Los ataques de BEC han evolucionado desde entonces, con ciertos actores especializándose en estas operaciones", comenta Anaya.
Ir a por los más pequeños para 'pescar' a los grandes
Proofpoint señala que estos ataques tienen éxito porque los emails son “engañosamente similares a mensajes legítimos, solicitando además a las víctimas que realicen tareas que entran dentro de sus obligaciones habituales. Esta misma simplicidad permite que los emails pasen desapercibidos para las soluciones de seguridad tradicionales que están diseñadas para detectar amenazas que explotan la tecnología”.
Además, Proofpoint incide en que “la cadena de suministro y el ecosistema de partners se ha convertido en unos de los principales vectores de amenazas por parte de ciberdelincuentes”.
A menudo los piratas informáticos dirigirían sus ataques BEC, como el fraude de facturas a pequeñas y medianas empresas o autónomos, porque su ciberseguridad suele ser menos robusta y, "a partir de ahí, pueden aprovecharse de las relaciones de confianza que tienen estos proveedores con partners de mayor tamaño”.
Quiénes están detrás de este fraude
Si has sido víctima de esta estafa bien porque eres freelance o bien porque tu empresa a hecho el pago a quien no debía, quizás te interesará saber quién o quiénes estarían detrás. Desde Cipher identifican varios posibles autores:
1. FIN7: Conocido por apuntar a empresas a través de sofisticadas técnicas de spear-phishing y malware.
2. Lazarus Group: Asociado con numerosos ataques cibernéticos financieros y operaciones de espionaje.
3. APT38: Una subdivisión del Lazarus Group especializada en robos cibernéticos a bancos.
4. Carbanak (o Cobalt Group): Grupo que ha atacado principalmente a instituciones financieras usando tácticas de spear-phishing.
5. BEC Scammers: No es un grupo específico, sino varios actores que realizan compromiso de correo electrónico empresarial.
6. Gold Kingswood: Grupo de amenazas asociado con operaciones de BEC y estafas de tipo "scam de CEO".
7. SilverTerrier: Colectivo de actores de amenazas nigerianos conocidos por sus estafas de BEC.
8. London Blue: Red de cibercriminales que se enfoca en BEC y ha creado listas de objetivos en todo el mundo.
9. Scattered Canary: Grupo versátil que ha realizado desde estafas de loterías hasta fraudes de cambio de factura.
10. Silent Starling: Colectivo de cibercriminales que ha estado involucrado en ataques de vishing y compromiso de correo electrónico empresarial para interceptar transacciones financieras.
Cómo evitar la estafa de la transferencia bancaria fraudulenta
En principio hay varias maneras de evitar que esta estafa ocurra. La primera de ellas es que la persona del departamento de administración o finanzas de la empresa destinataria que se encarga de hacer los pagos revise la cuenta minuciosamente. Si se trata de un cliente que cada mes manda estas facturas religiosamente, seguramente le choque que la cuenta bancaria sea otra completamente distinta.
Desde Proofpoint hacen una serie de recomendaciones técnicas para minimizar los riesgos del factor humano sobre estas amenazas, como autenticar correos de salida, permitiendo que proveedores y partners verifiquen email legítimo; verificar la autenticidad de correos entrantes para prevenir la suplantación de dominio; requerir transmisión cifrada, protegiendo contra la interceptación de emails; activar normas para la prevención de pérdida de datos, ya que logran detectar una comunicación anómala entre distintas partes; y, por último, priorizar la concienciación sobre ciberseguridad con programas específicos sobre protección del email y otros adaptados a la cadena de suministro.
Por otro lado, el banco también tiene mucho que decir al respecto. ¿Es factible permitir un pago a un número de cuenta cuando la persona que aparece no es la titular de la misma? Es posible realizar la transacción, pero no deja de ser una mala praxis por parte de la entidad.
“Si un ataque de transferencia bancaria fraudulenta ha resultado con éxito, debe comenzarse un proceso de recuperación, pidiendo que se ponga en contacto con la entidad financiera a la que se envió la transferencia. Acto seguido, hay que contactar con la policía y denunciar el ataque. Posiblemente, habrá que notificarlo a aseguradoras y, si procede, a accionistas de la empresa, porque si la información sensible ha acabado en manos de ciberdelincuentes, se deberán mitigar las secuelas”, concluyen fuentes de Proofpoint.