Los estafadores por correo electrónico están evolucionando: cómo protegerse

Los estafadores por correo electrónico están evolucionando: aquí le mostramos cómo protegerse

Por Danny Bradbury • 17 de abril de 2025

Los ciberdelincuentes están constantemente invadiendo las empresas, pero pocos ataques son tan astutos y descarados como el ataque de correo electrónico empresarial (BEC). Este ataque de ingeniería social utiliza el correo electrónico como vía de acceso a una organización, lo que permite a los atacantes estafar a las víctimas para robarles los fondos de la empresa.

Los ataques BEC suelen usar direcciones de correo electrónico que parecen provenir de la propia empresa de la víctima o de un socio de confianza, como un proveedor. Estos dominios suelen estar mal escritos o usar conjuntos de caracteres diferentes para crear dominios que parecen de una fuente confiable, pero son maliciosos.

Los empleados con ojo experto pueden detectar estas direcciones maliciosas, y los sistemas de correo electrónico pueden gestionarlas mediante herramientas de protección como el protocolo de autenticación de correo electrónico DMARC (Autenticación, Informes y Conformidad de Mensajes Basada en Dominio). Pero ¿qué ocurre si un atacante logra usar un dominio de confianza para todos?

Cuando no se puede confiar en fuentes confiables

Empresa de ciberseguridad Guardz Descubierto recientemente Atacantes haciendo precisamente eso. El 13 de marzo, publicó un análisis de un ataque que utilizó los recursos en la nube de Microsoft para hacer que un ataque BEC fuera más convincente.

Los atacantes utilizaron los dominios de la empresa, aprovechando las configuraciones incorrectas de los inquilinos para arrebatar el control a usuarios legítimos. Obtuvieron el control de varios inquilinos de la organización M365, ya sea apropiándose de algunos o registrando los suyos propios. Crearon cuentas administrativas en estos inquilinos y crearon sus propias reglas de reenvío de correo.

Luego, abusan de una función de Microsoft que muestra el nombre de una organización y la usan para insertar una confirmación de transacción fraudulenta, junto con un número de teléfono para solicitar un reembolso. Este mensaje de phishing se filtra porque las herramientas de seguridad de correo electrónico tradicionales no analizan el nombre de la organización en busca de amenazas. El correo electrónico llega a la bandeja de entrada de la víctima porque el dominio de Microsoft tiene buena reputación.

Cuando la víctima llama al número, el atacante se hace pasar por un agente de atención al cliente y lo convence de instalar malware o entregar información personal, como sus credenciales de inicio de sesión.

Una marea creciente de ataques BEC

Este ataque pone de relieve el espectro continuo de los ataques BEC, que se han intensificado con el tiempo. Los datos más recientes (2024) del FBI... reportaron 55.5 millones de dólares en pérdidas globales de BEC entre 2013 y 2023, un aumento con respecto a casi $ 51 mil millones reportado el año anterior.

Tampoco es la primera vez que los ataques BEC y de phishing se dirigen a los usuarios de Microsoft 365. En 2023, los investigadores... señaló el rápido aumento de W3LL, un kit de phishing que comprometió específicamente las cuentas de Microsoft 365 al eludir la autenticación multifactor.

Lo Que Puede Hacer

El mejor enfoque para mitigar los ataques BEC es, como ocurre con la mayoría de las demás protecciones de ciberseguridad, el multinivel. Los delincuentes pueden vulnerar una capa de protección, pero es menos probable que superen varios obstáculos. Marcos de seguridad y control, como la norma ISO 27001 y Marco de ciberseguridad del NISTSon buenas fuentes de medidas para evitar a los estafadores. Estas ayudan a identificar vulnerabilidades, mejorar los protocolos de seguridad del correo electrónico y reducir la exposición a ataques basados en credenciales.

Los controles tecnológicos suelen ser un arma útil contra los estafadores BEC. Usar controles de seguridad de correo electrónico como DMARC es más seguro que no hacerlo, pero, como señala Guardz, no serán efectivos contra ataques que utilicen dominios de confianza.

Lo mismo ocurre con el filtrado de contenido mediante alguna de las numerosas herramientas de seguridad de correo electrónico disponibles. Si bien no habría detectado la técnica de incrustación de amenazas empleada en el ataque reportado en marzo, sigue siendo una medida útil en general. El análisis de contenido avanzado que examina los campos organizativos y los metadatos es óptimo.

De igual forma, las políticas de acceso condicional son una forma valiosa de detener algunos ataques BEC, incluyendo el uso de la autenticación multifactor (MFA). Sin embargo, esta protección, que utiliza un segundo mecanismo de autenticación fuera de banda para confirmar la identidad del usuario, no es infalible. Los ataques de proxy inverso, en los que el atacante utiliza un servidor intermedio para obtener las credenciales de MFA de la víctima, son bien conocidos. Uno de estos ataques ocurrió en 2022, dirigido a 10,000 365 organizaciones que utilizaban MXNUMX. Por lo tanto, utilice la MFA, pero no dependa solo de ella.

Consiga que los empleados se involucren

Muchos ataques se frustran no con controles técnicos, sino con un empleado atento que exige la verificación de una solicitud inusual. Extender las protecciones a diferentes áreas de su organización es una buena manera de minimizar el riesgo mediante diversas medidas de protección. Esto hace que los controles humanos y organizacionales sean clave en la lucha contra los estafadores. Realice capacitaciones periódicas para reconocer los intentos de BEC y verificar las solicitudes inusuales.

Desde una perspectiva organizacional, las empresas pueden implementar políticas que obliguen a implementar procesos más seguros al llevar a cabo los tipos de instrucciones de alto riesgo (como grandes transferencias de efectivo) que los estafadores BEC suelen atacar. Separación de tareas – un control específico dentro de la norma ISO 27001 – es una excelente manera de reducir el riesgo al garantizar que se necesiten varias personas para ejecutar un proceso de alto riesgo.

La rapidez es esencial para responder a un ataque que logre superar estos diversos controles. Por eso, también es recomendable planificar la respuesta a incidentes antes de que ocurra un ataque BEC. Cree guías para incidentes sospechosos de BEC, incluyendo la coordinación con instituciones financieras y las fuerzas del orden, que definan claramente quién es responsable de cada parte de la respuesta y cómo interactúan.

Monitoreo continuo de seguridad. Un principio fundamental de la norma ISO 27001 también es crucial para la seguridad del correo electrónico. Los roles cambian. Las personas se van. Vigilar los privilegios y detectar nuevas vulnerabilidades es fundamental para mantener a raya los peligros.

Los estafadores de BEC invierten en el desarrollo de sus técnicas porque son rentables. Basta con una gran estafa para justificar el esfuerzo que dedican a atacar a ejecutivos clave con solicitudes financieras. Es el ejemplo perfecto del dilema del defensor: un atacante solo tiene que tener éxito una vez, mientras que un defensor debe tenerlo siempre. Estas no son las probabilidades que desearíamos, pero implementar controles efectivos ayuda a equilibrarlas de forma más equitativa.

danny bradbury

Danny Bradbury ha sido periodista impreso especializado en tecnología desde 1989 y escritor independiente desde 1994. Ha escrito para publicaciones nacionales en ambos lados del Atlántico y ha ganado premios por su trabajo de periodismo de investigación en ciberseguridad.

Lea más de Danny Bradbury

La seguridad cibernética 20 November 2025

Lo que las brechas de seguridad de Salesforce nos enseñan sobre la responsabilidad compartida

2025 no ha sido un buen año para los clientes de Salesforce. Un grupo criminal sin escrúpulos lanzó una serie de ataques contra sus clientes, afectando finalmente a...

danny bradbury

La seguridad cibernética 13 November 2025

Evaluación del cambio de la administración Trump en la política de ciberseguridad de EE. UU. (Banner)

Evaluación del cambio de política de ciberseguridad de Estados Unidos durante la administración Trump

Las recientes acciones ejecutivas y las reestructuraciones de agencias marcan un cambio significativo en la estrategia federal de ciberseguridad, lo que plantea interrogantes sobre la resiliencia nacional...

danny bradbury

La seguridad cibernética 23 October 2025

Por qué la investigación de la FTC sobre chatbots debería preocupar a las empresas B2B

Septiembre marcó un hito para los defensores de la ética de la IA. La FTC emitió órdenes conforme a la Sección 6(b) a siete importantes empresas tecnológicas que producen chatbots...

danny bradbury

Los estafadores por correo electrónico están evolucionando: aquí le mostramos cómo protegerse

Cuando no se puede confiar en fuentes confiables

Una marea creciente de ataques BEC

Lo Que Puede Hacer

Consiga que los empleados se involucren

danny bradbury

Artículos relacionados

Informe sobre el estado de la seguridad de la información: 11 estadísticas y tendencias clave para el sector financiero

IO nombrado líder de G2 Grid® en gobernanza, riesgo y cumplimiento para el invierno de 2025

Qué significa el proyecto de ley de ciberseguridad y resiliencia para las infraestructuras críticas

Lea más de Danny Bradbury

Lo que las brechas de seguridad de Salesforce nos enseñan sobre la responsabilidad compartida

Evaluación del cambio de política de ciberseguridad de Estados Unidos durante la administración Trump

Por qué la investigación de la FTC sobre chatbots debería preocupar a las empresas B2B