El trabajo en remoto impuesto por los confinamientos ha provocado un aumento de los ataques de ciberdelincuencia basados ingeniería social, y, en especial, aquellos que utilizan la técnica del e-mail spoofing.

El correo electrónico corporativo es una herramienta de comunicación imprescindible para el funcionamiento de las organizaciones. Su alcance —llega a casi todos los miembros de una organización, sea cual sea su puesto en ella, y se utiliza para la comunicación interna, entre miembros de la organización, y también para la externa, con clientes, proveedores y socios— y su sencillez de uso, que son dos de las características que lo hacen tan valioso para las organizaciones, son también los factores por los que se ha convertido en uno de los principales vectores de entrada de ataques de ciberdelincuencia en una organización.

En 2019, según datos del INCIBE, más del 60% del tráfico mundial de correo electrónico contenía carga dañina y estuvo involucrado en más del 90% de los ciberataques. La crisis sanitaria del 2020 provocada por la COVID-19 ha sido aprovechada por la ciberdelincuencia para explotar las vulnerabilidades del trabajo en remoto improvisado y de un entorno de urgencias, siendo el correo electrónico corporativo uno de los principales vectores de entrada de los ataques, que contenían, en su mayoría, técnicas de ingeniería social, entre ellas, la del e-mail spoofing o suplantación del correo electrónico.

¿Qué es el e-mail spoofing?

Las técnicas de ingeniería social se basan en el principio de que es más fácil engañar a una persona que a una máquina. El e-mail spoofing consiste en suplantar una dirección de correo electrónico de forma que el receptor crea que se la envía una persona o empresa con la que tiene alguna relación y en la que confía, para que así siga sus peticiones o instrucciones sin sospechar que, en realidad, está siendo objeto de un ciberataque.

El e-mail spoofing puede hacerse de dos formas:

  • Falsificando una dirección de correo electrónico: el ciberataque se lleva a cabo desde una dirección que parece la verdadera, pero que en realidad es de un dominio muy parecido, que el ciberdelincuente ha registrado.
  • Robando una dirección de correo electrónico: el ciberataque se lleva a cabo desde una dirección de correo que es la verdadera, pero está controlada por el ciberdelincuente en lugar de su propietario.

Las víctimas del e-mail spoofing son dobles, ya que se registran en las dos vertientes del engaño llevado a cabo por la ingeniería social: por una parte está la víctima directa, el receptor, que es engañado y cree que la comunicación proviene de una cuenta que conoce y con la que tiene relación; por otra, está la víctima indirecta, la persona o empresa cuya dirección de correo ha sido falsificada o robada, ya que el ataque se lleva a cabo al amparo de su nombre y de la relación que tiene con el receptor.

El e-mail spoofing comienza con el ciberdelincuente falsificando o robando una dirección de correo electrónico para enviar un mensaje a un objetivo al que previamente ha estudiado, de forma que conoce con qué organizaciones o personas tiene relación, para que no sospeche del remitente. Después, en la redacción del mensaje se incluye casi siempre urgencia, oportunidad o confidencialidad, para que el objetivo no tenga tiempo de analizar el contenido y se sienta obligado a realizar la acción que se le pide de forma rápida y discreta.

Esa acción que el ciberdelincuente necesita que el receptor lleve a cabo es variada y depende de la intención última del ciberataque: pinchar en un enlace que conduce a una web falsa en donde se le piden datos sensibles como contraseñas o información confidencial de la organización, descargar un archivo que contiene malware para infectar el sistema corporativo o ejecutar una operación determinada, normalmente financiera, a favor del ciberdelincuente.

El fraude del CEO

Los ataques de ingeniería social son cada vez más sofisticados y elaborados, y el denominado «fraude del CEO», un tipo concreto de e-mail spoofing, es un ejemplo de ello: el ciberdelincuente, utilizando la técnica de la suplantación de la dirección de correo, envía un mensaje a un empleado que tiene capacidad para realizar transacciones financieras y la ejerce habitualmente, desde una cuenta falsificada o robada al CEO de la organización. En el mensaje, el CEO le pide con cierta urgencia que transfiera dinero a otra firma con la que habitualmente opera la organización, y que, en realidad, acabará en alguna cuenta opaca abierta por el ciberdelincuente.

A finales del 2020, una conocida empresa farmacéutica gallega denunció haber sido víctima del fraude del CEO: el jefe financiero recibió varios correos electrónicos desde la dirección de correo del CEO instándole a hacer una serie de transferencias, que llegaron a sumar entre todas nueve millones de euros, a favor de una multinacional extranjera. Por cada transferencia realizada, el jefe financiero recibió la factura de la multinacional por los servicios prestados, desde una dirección de correo también controlada por el ciberdelincuente y enmascarada, de nuevo, a través de la técnica del e-mail spoofing.

Aprovechar el contexto provocado por la pandemia influyó en el éxito de la ingeniería social en la que se basó el ataque: se trata de una empresa que colabora en el desarrollo de una de las vacunas contra el SARS-CoV-2, así que a la víctima directa del engaño no le resultó extraña la orden de transferencias en un momento en el que las operaciones y las colaboraciones se realizan, en muchos casos, por primera vez y con mucha urgencia.

Otras veces, el fraude se comete sin que medie ningún actor fuera de la organización: un empleado envía desde su cuenta corporativa, falsificada o controlada por el ciberdelincuente, un correo al departamento financiero indicando el cambio de su cuenta bancaria; entonces, el pago de la siguiente nómina se ingresa en esa cuenta, abierta en realidad por el ciberdelincuente, y el fraude no se descubre hasta que el trabajador reclama el pago.

Cómo protegerse de la suplantación del correo electrónico

La gestión segura del correo electrónico corporativo es la estrategia más eficaz para detectar y anular ataques contra la organización que utilicen la técnica del e-mail spoofing, una gestión que aúna tecnología, profesionales de la seguridad y a las personas de la organización.

La protección integral del correo electrónico corporativo a través de soluciones de tecnología requiere una estrategia multicapa, porque las soluciones tradicionales, si bien siguen siendo efectivas contra la suplantación fraudulenta, no son suficientes para abarcar todos los riesgos en el entorno actual de amenazas más evolucionadas y sofisticadas, como el robo de direcciones de correo.

Además, es necesaria la información actualizada y formación continuada de las personas de la organización sobre las amenazas y su forma de anularlas, y el diseño por parte de los profesionales de seguridad digital de una política de protección del correo electrónico corporativo que elija la tecnología adecuada a las amenazas específicas y establezca como rutinas el análisis del remitente y la dirección de correo, la ratificación y verificación por otro medio adicional de las órdenes de movimientos financieros extraños o nuevos, la doble autenticación y el examen de los enlaces y archivos adjuntos antes de pinchar en ellos o descargarlos.

En Sothis, ayudamos a las organizaciones con nuestros servicios gestionados de correo seguro, desde nuestro SOC certificado 27001 y ENS. Contamos con un portfolio completo de servicios para mejorar la seguridad de las comunicaciones de correo electrónico, detectar posibles ataques y amenazas, y establecer una estrategia de seguridad efectiva alrededor del correo electrónico corporativo.

Para conocer más sobre la estrategia de seguridad del correo electrónico corporativo, puedes descárgarte nuestro dossier Gestión segura e integral del correo corporativo: protección y cumplimiento, en donde analizamos el modelo de gestión segura del correo electrónico corporativo, examinando las principales amenazas que ponen en riesgo la seguridad del correo electrónico, incluido el e-mail spoofing, la estrategia y la tecnología necesarias para combatirlas y, también, las obligaciones derivadas del cumplimiento de la normativa sobre datos que afecta al correo electrónico corporativo.