Business Email Compromise sigue siendo una de las técnicas de ciberdelincuencia más eficaces y dañinas que se utilizan en la actualidad. A diferencia de los ataques basados en ransomware o malware, BEC no se basa en exploits o cargas maliciosas. Se basa en las personas, la confianza y los procesos empresariales rutinarios. Precisamente por eso sigue teniendo éxito, incluso en organizaciones con controles técnicos de seguridad maduros.
Los ataques BEC modernos han evolucionado mucho más allá de los simples correos electrónicos de phishing. Ahora los atacantes se dirigen a identidades, secuestran sesiones en directo, eluden la autenticación multifactor y persisten silenciosamente en los buzones de correo durante semanas o meses. En este entorno, la formación de concienciación tradicional ya no es suficiente. Lo que se necesita es un enfoque gestionado y adaptable de la concienciación sobre la seguridad que evolucione junto con el comportamiento de los atacantes y reduzca activamente el riesgo.
En esencia, un ataque BEC es una intrusión basada en la identidad diseñada para manipular comunicaciones empresariales legítimas. El objetivo del atacante rara vez es el robo inmediato. En su lugar, buscan acceder a bandejas de entrada de confianza, conversaciones internas y flujos de trabajo financieros. Con herramientas de IA genérica, los atacantes pueden hacer que los correos electrónicos y las comunicaciones de phishing parezcan profesionales y pueden utilizar deepfakes para engañar a las personas.
Una vez dentro, los atacantes observan cómo funciona la organización. Aprenden quién aprueba los pagos, cómo se comunican los proveedores, cómo escriben los correos electrónicos los ejecutivos y qué procesos se siguen durante las transacciones rutinarias. El fraude final suele ser sutil, bien sincronizado y convincentemente legítimo.
Como no hay malware implicado y las comunicaciones parecen auténticas, los BEC suelen eludir las herramientas tradicionales de seguridad del correo electrónico. Por eso el comportamiento humano y la concienciación desempeñan un papel tan decisivo a la hora de detener estos ataques en una fase temprana.
Hoy en día, las investigaciones de BEC comienzan cada vez más con el robo de sesiones y tokens en lugar de con el robo de contraseñas. Las técnicas Adversary-in-the-Middle permiten a los atacantes interceptar flujos de autenticación en tiempo real, capturando testigos de sesión válidos después de que un usuario haya iniciado sesión con éxito. Esto les permite eludir por completo la MFA sin activar alertas evidentes.
Una vez autenticados, los atacantes operan como el usuario. Acceden a buzones de correo, servicios en la nube, herramientas de colaboración y archivos compartidos sin necesidad de volver a autenticarse. Este cambio ha convertido el robo de tokens y sesiones en el principal motor de los ataques BEC modernos.
A partir de ahí, los atacantes establecen la persistencia. Se crean reglas de buzón para ocultar alertas de seguridad o desviar respuestas. Se abusa de los tokens OAuth para mantener el acceso incluso después de cambiar las contraseñas. En algunos casos, las cuentas inactivas o poco vigiladas se utilizan como puntos de apoyo para ampliar aún más el acceso.
Estas técnicas permiten a los atacantes permanecer invisibles mientras mapean las relaciones internas y planean su próximo movimiento.
Los atacantes de BEC rara vez se precipitan. El sigilo es su ventaja. Al permanecer en silencio, reducen el riesgo de detección mientras recopilan información.
Los intermediarios de acceso y los proveedores comprometidos desempeñan un papel cada vez más importante en esta etapa. Un atacante puede obtener acceso inicial a través de un tercero, el buzón de un proveedor o una cuenta olvidada que todavía tiene acceso a los sistemas compartidos. A partir de ahí, pivotan lateralmente, siguiendo cadenas de confianza en lugar de vulnerabilidades técnicas.
Este movimiento lateral es social más que técnico. Los atacantes observan cómo se comunica la gente, quién confía en quién y dónde reside la autoridad. Luego explotan esas relaciones para escalar el acceso o iniciar solicitudes fraudulentas.
Sin visibilidad de las anomalías de comportamiento y de las preocupaciones comunicadas por los usuarios, estas intrusiones suelen pasar desapercibidas hasta que ya se han producido daños financieros.
Uno de los aspectos que más se pasan por alto en la defensa contra los BEC es el reconocimiento de los primeros indicadores de peligro. Mucho antes de que se mueva el dinero, hay señales de comportamiento que indican que algo va mal.
Estas pueden incluir ubicaciones de inicio de sesión inusuales, cambios en las reglas del buzón de correo, consentimientos inesperados a aplicaciones OAuth o cambios sutiles en el tono y el momento del correo electrónico. Los atacantes pueden mostrar interés de repente en conversaciones financieras, detalles de proveedores o flujos de trabajo de aprobación que antes ignoraban.
La concienciación sobre seguridad gestionada desempeña aquí un papel fundamental. Cuando se enseña a los usuarios a reconocer estas señales y se les anima a informar de cualquier cosa inusual, la detección pasa del SOC a toda la organización. La notificación temprana a menudo convierte lo que podría haber sido un incidente financiero importante en un evento de seguridad contenido.
La defensa contra los BEC requiere un enfoque por capas que combine el refuerzo de la identidad, la detección, la respuesta y la concienciación.
Deben aplicarse sólidas políticas de acceso condicional para reducir el abuso de las sesiones, incluidos controles de ubicación, confianza en los dispositivos y comprobaciones continuas de autenticación. La protección de la identidad debe ir más allá de las contraseñas y la AMF para incluir la supervisión de tokens y el riesgo de sesión.
Los controles de seguridad del correo electrónico deben centrarse en el análisis del comportamiento en lugar de limitarse a buscar enlaces o archivos adjuntos maliciosos. Los correos electrónicos BEC suelen ser limpios, contextualizados y socialmente manipulados.
Desde la perspectiva de las operaciones de seguridad, los equipos SOC deben ajustar la lógica de detección para identificar los ataques basados en la identidad, no sólo el malware. Los flujos de trabajo de respuesta a incidentes deben diseñarse para gestionar el compromiso de buzones de correo, la revocación de tokens y la rápida contención de cuentas de confianza.
Sin embargo, ninguna de estas medidas es plenamente eficaz sin usuarios informados.
Los ataques de Business Email Compromise tienen éxito abusando de la confianza. Una vez que los atacantes obtienen acceso a una cuenta legítima, los modelos de seguridad tradicionales suelen tratar a ese usuario y a esa sesión como seguros. Zero Trust desafía esta suposición al operar sobre el principio de que siempre se debe esperar un compromiso.
Para la defensa BEC, esto es fundamental. Los ataques modernos se basan con frecuencia en el secuestro de sesiones y el robo de tokens, lo que permite a los atacantes eludir la AMF y operar como usuarios de confianza. Zero Trust limita el daño verificando continuamente la identidad, la postura del dispositivo, la ubicación y el comportamiento, incluso después del inicio de sesión.
El acceso condicional fuerte, el acceso con menos privilegios y la evaluación continua de la sesión dificultan a los atacantes la persistencia, el giro o el acceso a flujos de trabajo financieros sensibles. El movimiento lateral está restringido y el comportamiento sospechoso se detecta antes. Sin embargo, no es una panacea.
Los ataques de Business Email Compromise son una forma sofisticada de ingeniería social que a menudo eluden las herramientas estándar porque no utilizan malware o enlaces maliciosos obvios. Para hacer frente a estos ataques de forma eficaz se requiere un enfoque global de la organización que refuerce la visibilidad de la identidad y el comportamiento, fortalezca los controles técnicos y aumente la resistencia humana.
La defensa contra los BEC empieza por comprender cómo se comportan las identidades y las cuentas. Los servicios Managed Detection & Response (MDR) y Managed SIEM de Integrity360 proporcionan una supervisión continua 24 horas al día, 7 días a la semana, de redes, puntos finales, cargas de trabajo en la nube y registros para detectar actividad inusual, como inicios de sesión anómalos, cambios en las reglas del buzón o anomalías en el consentimiento OAuth, que a menudo indican la existencia de cuentas comprometidas. Estas fuentes de telemetría ayudan a identificar patrones sospechosos en una fase temprana, mucho antes de que se mueva el dinero.
Las amenazas modernas se mueven con rapidez, y las herramientas asistidas por IA ayudan a detectar desviaciones sutiles que podrían indicar un ataque BEC. MDR y CyberFire MDR de Integrity360 utilizan análisis avanzados y perfiles de comportamiento para detectar el uso indebido de identidades, mientras que analistas de seguridad experimentados validan, priorizan y responden a las alertas, reduciendo los falsos positivos y mejorando los resultados de la detección.
Cuando una cuenta se comporta de forma inesperada, la rapidez es fundamental. El MDR de Integrity360 ofrece detección automatizada y respuesta rápida ante incidentes en todo el estado. Con analistas expertos que operan desde múltiples Centros de Operaciones de Seguridad, la actividad sospechosa puede contenerse rápidamente -incluyendo el aislamiento de sesiones, la revocación de tokens y la corrección de credenciales comprometidas- reduciendo el tiempo de espera y deteniendo a los atacantes antes de que intensifiquen sus tácticas de BEC.
El comportamiento de los atacantes a menudo se basa en señales sociales, explotación de la confianza o manipulación de procesos internos. El servicio de concienciación de seguridad gestionada de Integrity360 va mucho más allá del aprendizaje electrónico genérico, diseñando campañas y simulaciones continuas y personalizadas que reflejan escenarios reales de BEC. Estos programas ayudan a los empleados -especialmente a los que desempeñan funciones de alto riesgo, como finanzas o apoyo ejecutivo- a reconocer la ingeniería social sofisticada y a informar de posibles problemas en una fase temprana, convirtiendo a la plantilla de la organización en una línea de defensa activa.
Los servicios gestionados de seguridad de Microsoft de Integrity360 ayudan a las organizaciones a obtener mucho más valor y protección de sus inversiones actuales en Microsoft, en particular Microsoft Entra ID, Microsoft Defender y Microsoft Sentinel. Ayudamos a las organizaciones a configurar y optimizar las políticas de acceso condicional, los controles de protección de identidades y la aplicación de MFA para reducir el riesgo de secuestro de sesiones y el abuso de tokens utilizados habitualmente en los ataques BEC modernos.
El uso indebido de la identidad está en el centro de los ataques BEC. Integrity360 también ofrece servicios de seguridad de identidad gestionada y orientación a través de sus recursos "Defender identidades" para ayudar a las organizaciones a implantar un acceso condicional sólido, supervisión de tokens y mejores prácticas de higiene de identidad que dificulten las técnicas del adversario en el medio y el secuestro de sesiones.
Una buena ciberhigiene reduce el riesgo secundario. Integrity360 es compatible con la aplicación continua de parches, la configuración segura y la gestión continua de la exposición a amenazas para garantizar la optimización de capas defensivas como el filtrado del correo electrónico, el endurecimiento de los puntos finales y la segmentación de la red. Estas medidas no sólo reducen la probabilidad de escalada de BEC, sino que también apoyan la rápida contención cuando aparecen problemas.
Al combinar una mayor visibilidad, detección validada por expertos, respuesta automatizada y un programa de concienciación gestionado, las organizaciones con Integrity360 pueden mejorar significativamente su defensa contra los ataques BEC. Este enfoque por capas aborda tanto las señales técnicas que emiten los atacantes como los comportamientos humanos a los que se dirigen. Si desea obtener más información sobre cómo los expertos de Integrity360 pueden ayudar a su organización, póngase en contacto con nosotros.