Sergio Gutiérrez Responsable de Ciberinteligencia Zerolynx
Gonzalo Terciado Consultor Senior de Ciberinteligencia Zerolynx

‘Mail spoofing’: amenazas cada vez más dirigidas

Hoy en día, resulta extraño encontrar a alguien que no conozca todavía qué es y en qué consiste la conocida como «estafa del CEO»; o, al menos, que le suene o haya escuchado hablar sobre ella. Tal como su nombre indica, esta estafa digital busca suplantar al consejero delegado de una organización o CEO (siglas que provienen del inglés Chief Executive Officer), con el fin de engañar a un empleado para que realice un pago en nombre de la empresa. Este tipo de fraudes suele así tener como víctima habitual a los departamentos financieros y a las áreas de tesorería de las distintas corporaciones.

Por ello, bajo el contexto de una importante operación para la empresa, el supuesto CEO le solicitará al empleado seleccionado que realice un pago a la cuenta bancaria que este le facilita. De igual modo, se le pedirá al trabajador que, en todo momento, trate esta acción con estricta confidencialidad y que no comparta ningún detalle con nadie.

En definitiva, el objetivo último de todo ello será derivar una elevada cuantía económica a la cuenta bancaria gestionada por el actor malicioso, la cual normalmente estará alojada en una entidad bancaria opaca de algún país de fuera de la Unión Europea o con el que no existen ciertos acuerdos.

Esto último, por cuestiones claramente jurídicas en materia competencial del derecho internacional, dificultará posteriormente la investigación del incidente y la recuperación de los fondos sustraídos.

Ingeniería social

Por desgracia para las organizaciones, en esta constante carrera del gato y el ratón, los cibercriminales van siempre un paso por delante y modifican sus técnicas empleadas en cuanto perciben que estas han dejado de ser efectivas.

En el caso de las estafas y los fraudes digitales que emplean la ingeniería social, esto pasa a diario. Un claro ejemplo de ello lo tenemos en las actuales campañas de phishing, que utilizan nuevos canales para captar la atención de la víctima y obtener así una mayor tasa de éxito: llamadas telefónicas (vishing), uso de mensajes SMS (smishing) o correos electrónicos cada vez más sofisticados y dirigidos (spear phishing).

De este modo, la estafa del CEO también ha dado paso a otro tipo de técnicas que presentan todavía un rasgo común: la suplantación por correo electrónico como eje principal sobre el que se articula toda la estafa.

En tendencia al alza, hay que presentar aquí aquellas estafas corporativas que buscan suplantar a los proveedores de la organización; en este caso, el objetivo prioritario del fraude vendrá a ser modificar el método de pago de facturas pendientes.

Suplantación de proveedores

En el ámbito corporativo, las estafas que buscan suplantar a alguno de los proveedores de la organización dan un paso más allá; de este modo, no se limitan al uso de la ingeniería social y se requiere como necesario que se comprometa previamente el correo de alguno de los empleados implicados.

La estafa o fraude del CEO comienza así por un incidente de seguridad, normalmente facilitado por la exposición en la Dark Web de correos electrónicos corporativos y credenciales filtrados en alguna fuga de información previa, que permite al actor malicioso acceder a correos corporativos en los que se muestran hilos de correo relevantes.

A pesar de tal acceso no autorizado, la amenaza se mantendrá por un tiempo latente y a la espera, analizando así todos los correos de la víctima. Su objetivo se enfocará en identificar algún pago o factura pendiente.

Sin embargo, ante la más mínima ventana de oportunidad, el actor malicioso realizará un ciberataque de tipo man-in-the-middle e intervendrá la interlocución que tiene lugar entre la organización y su proveedor.

En la mayoría de las ocasiones, el modus operandi responde a lo siguiente: el actor malicioso registra nombres de dominio disponibles, similares a los legítimos, y genera cuentas de correo que le permitirán suplantar a los empleados de ambas organizaciones implicadas.

De este modo, antes de la ejecución de la estafa, el actor malicioso contará con el contexto y las cuentas de correo necesarias que le permitirán poder llevar a cabo la suplantación con éxito.

Los siguientes pasos también suelen acontecer del mismo modo: se envía un correo desde la cuenta fraudulenta a todas las cuentas de correo legítimas que aparecían implicadas en la operación pendiente, pegando así el hilo anterior de correos con toda la conversación mantenida. A veces, incluso, el actor malicioso se apoyará en otras cuentas fraudulentas generadas por él mismo para obtener mayor verosimilitud.

Tras ello, al confirmar que todos los interlocutores han dado el contacto por legítimo, volverá a mandar otro correo, solicitando ahora un cambio en los métodos de pago asignados; de esta manera, alegando cualquier tipo de problema o motivo, se requerirá que el pago se realice a otra cuenta bancaria.

Contramedidas efectivas

En este punto, si la organización no cuenta con una serie de procedimientos internos correctamente establecidos, lo habitual será que el pago se termine realizando a la cuenta bancaria controlada por el actor malicioso. Por ello, tal estafa únicamente saldrá a la luz tiempo más tarde, cuando el proveedor legítimo reclame el pago pendiente.

Hasta entonces, lo más seguro es que los fondos lleguen a su destino y desaparezcan a la mayor brevedad posible a través de su extracción por parte de mulas desde terceros países.

Por desgracia, tal como ocurre actualmente en la mayoría de casos, las organizaciones únicamente implementan acciones, de forma reactiva, tras conocer el incidente, de tal modo que dichas acciones se limitan a investigar en profundidad lo ocurrido y rara vez se consigue recuperar la cantidad transferida al actor malicioso.

Estas nuevas amenazas, que afectan cada vez más a todo tipo de organizaciones en el mundo, requieren una mayor concienciación sobre la importancia de desplegar acciones y contramedidas preventivas.

Llegados a este punto, toda organización debe plantearse qué puede hacer para evitar este tipo de ciberamenazas. La ciberinteligencia se presenta aquí como una gran aliada, siendo necesario abordar la cuestión desde el punto de vista de la empresa y del trabajador.

La empresa debe establecer así procedimientos internos que verifiquen la legitimidad de las peticiones asociadas a pagos, acordar puntos de contacto único con los proveedores y, cómo no, monitorizar de forma periódica la huella digital y exposición de la organización.

A su vez, en relación con los empleados, la formación y la concienciación resultan fundamentales para que estos no usen sus correos corporativos al darse de alta en plataformas ajenas a la organización, no reutilicen sus contraseñas y escalen siempre cualquier petición de pago y/o cambio en los métodos establecidos