Según nuestros expertos en seguridad del correo electrónico, se ha detectado un aumento de una variante sofisticada de ingeniería social dirigida a las empresas, en particular a sus equipos de recursos humanos o de nóminas, con una estafa difícil de detectar a primera vista.
Un supuesto antiguo empleado envía nuevos datos bancarios
El modus operandi suele seguir una dinámica idéntica. Los responsables de los ataques utilizan plataformas de networking profesional de acceso público, como LinkedIn, para investigar los datos de personas que, según sus perfiles, han trabajado hasta hace poco en la empresa objetivo o acaban de incorporarse a un nuevo puesto.
Usando una dirección privada que parece legítima desde una perspectiva técnica (por ejemplo, Gmail o Yahoo), los atacantes envían un mensaje al departamento de recursos humanos o de nóminas del anterior empleador de la persona.
El correo electrónico suele indicar que el antiguo empleado ha cambiado sus datos bancarios y, por lo tanto, solicita que todos los pagos pendientes (por ejemplo, salario, bonificaciones, horas extras o pagas de vacaciones) se transfieran a la nueva cuenta.
En los mensajes posteriores, los estafadores presionan con el tiempo, algo típico en este tipo de ataques, o amenazan a la empresa con emprender acciones legales.
Para el destinatario en el departamento de recursos humanos o nóminas de la empresa, el escenario parece totalmente plausible a primera vista, especialmente porque los exempleados tienden a utilizar cuentas de correo electrónico personales en lugar de direcciones comerciales para estos asuntos.
¿Por qué los controles convencionales suelen resultar insuficientes?
Esto repercute en las opciones de detección técnica disponibles. Las soluciones de seguridad de correo electrónico a menudo se centran en detectar direcciones de remitentes falsos, por ejemplo, mediante SPF, DKIM, DMARC y listas de bloqueo, como primera línea de defensa. Sin embargo, en estos casos no se trata del típico spoofing de dominio (es decir, una dirección de remitente falsa), sino más bien de una dirección de un proveedor de correo electrónico gratuito, que por su propia naturaleza no tiene ninguna conexión con un dominio de correo electrónico corporativo. Esto hace que sea mucho más difícil detectar un ataque basándose únicamente en la autenticidad del remitente.
Por este motivo, es fundamental que las empresas confíen en una tecnología de vanguardia que,email security solution además, emplee heurística basada en inteligencia artificial y reconocimiento de patrones.
Aumentar la concienciación sobre ciberseguridad del personal sigue siendo otra línea de defensa clave
Naturalmente, la sensibilización del personal sobre los riesgos de seguridad sigue desempeñando un papel fundamental. Es importante recordarle constantemente que siempre debe cuestionar la veracidad de los correos electrónicos, incluso si parecen legítimos.
En la práctica, dentro del contexto de la actividad diaria dentro de la empresa, esto significa:
- No todos los correos electrónicos que exigen un pago son legítimos, incluso cuando parecen provenir de un colega «real» o conocido.
- Es necesario que el personal que trabaja en los departamentos de recursos humanos, nóminas o finanzas tenga un alto nivel de conocimiento y que este se respalde mediante mecanismos de prueba que sigan procedimientos claramente definidos. Entre los enfoques viables se incluyen el establecimiento de directrices internas para salvaguardar los procesos de pago y la imposición de múltiples controles y verificaciones a la hora de autorizar los pagos. En ningún caso se debe transferir dinero basándose únicamente en haber recibido un correo electrónico.
Cualquier cambio en los datos de pago o de la cuenta debe confirmarse siempre poniéndose en contacto con el remitente a través de otro canal (por ejemplo, teléfono fijo o móvil) y nunca respondiendo al propio correo electrónico.
Para obtener más información sobre los mecanismos de protección integrales que ofrece Retarus Email Security, no dudes en ponerte en contacto con nosotros..
