En 2015, un banco ecuatoriano perdió $12 millones de dólares después de que los atacantes obtuvieran los códigos utilizándos para transferir fondos a través de la red financiera SWIFT. Al año siguiente, SWIFT también estuvo involucrada en un robo cibernético perpetrado contra el Banco Central de Bangladesh que terminó perdiendo $81 millones de dólares. También en 2016, un banco vietnamita logró impedir que los atacantes transfirieran $1.13 millones de dólares a sus cuentas.
Hemos clasificado a esta nueva clase de ataques como el Business Process Compromise (BPC), en el que los creadores de amenazas alteran discretamente los procesos críticos y los sistemas detrás de ellos, de manera que siguen funcionando normalmente pero produciendo resultados no autorizados. Pero, ¿cómo funciona el BPC? ¿Qué lo hace diferente del Business Email Compromise (BEC) o a los ataques dirigidos? ¿Cómo pueden las empresas identificarlo?
BEC vs. BPC
BPC y BEC comparten el mismo objetivo (obtener ganancias financieras), pero sus similitudes terminan ahí. El BEC es un fraude que depende en gran medida de las tácticas de ingeniería social para engañar a sus víctimas para que transfieran fondos a las cuentas de los defraudadores. Al realizar un BEC, los atacantes se hacen pasar por directores generales (CEO) o ejecutivos de alto nivel involucrados en el manejo financiero o que realizan pagos a través de transferencias electrónicas. De acuerdo con el FBI, existen cinco tipos de BEC:
- Esquema de Facturación Falsa
- Fraude del CEO
- Compromiso de Cuentas
- Suplantación de Abogados
- Robo de Datos
Por otro lado, el BPC es un ataque más complejo pues implica la modificación de procesos para generar un resultado diferente al que se planteo originalmente. Esto a menudo le retribuye a los atacantes importantes ganancias financieras. A partir de los casos que hemos observados, el BPC puede clasificarse en tres tipos:
- Diversión
- Transporte Combinado
- Manipulación Financiera
Ataques Dirigidos vs. BPC
A los ataques dirigidos y el BPC los separa una fina línea: ambos usan las mismas herramientas, técnicas y componentes para infiltrarse en la red objetivo y permanecer en ella sin ser detectados. Ambos permanecen ocultos en la red por un periodo indefinido. Sin embargo, el objetivo de los ataques dirigidos es extraer las “joyas de la corona” de la compañía (secretos comerciales, propiedad intelectual, etc.) para fines de espionaje o sabotaje. Por otro lado, los defraudadores que están detrás del BPC buscan tener ganancias. El BPC también podría seguir las mismas acciones que los ataques dirigidos, desde la recopilación de inteligencia y el movimiento lateral hasta el mantenimiento y exfiltración de datos.
[image url=”https://documents.trendmicro.com/images/TEx/articles/bpc-bec-targeted-attack.jpg” raw=”true” alignment=”center” margin_left=”0″ margin_right=”0″ margin_top=”15″ margin_bottom=”15″ width=”1315″ height=”714″]
Figura 1. Diferencias y similitudes entre BPC, BEC y los ataques dirigidos
Asegure su red contra el BPC
¿Cómo pueden las empresas evitar ser víctimas del BPC? Deben asegurar no sólo el perímetro de su red sino también sus procesos o lógica de negocio, los cuales también podrían ser atacados. Las pruebas de penetración y la auditoría pueden identificar las brechas de seguridad críticas de los sistemas o las redes, pero estas pruebas también deben verificar si las tecnologías o soluciones de seguridad con que se cuenta impiden los ataques en caso de que quienes diseñaron las amenazas tengan acceso de alto nivel. Asimismo, recomendamos ampliamente contratar a un externo que pueda simular escenarios de ataque desde varios puntos (tecnologías, procesos, sistemas, etc.) para cubrir todos los frentes.
Otra estrategia clave contra el BPC es separar las responsabilidades de los empleados para eliminar así los riesgos de las amenazas internas que podrían introducir variables maliciosas. La capacitación en seguridad y los programas de concientización alrededor del BPC también pueden ayudar a los ejecutivos y empleados a identificar y reportar este tipo de compromiso.
Entérese de cómo puede proteger a su organización contra esta amenaza aplicando estas estrategias de defensa contra BPC.
Leave a Reply