¿Cuánto vale tu seguridad? Las estafas por email que pueden costarte millones

El contenido que quiero compartir hoy tiene algunos tintes técnicos, pero intentaré ser lo más claro posible para que todos puedan sacar el mejor provecho de esta información. Para nadie es un secreto que el correo electrónico es uno de los vectores de ataque favoritos de los ciberdelincuentes para comprometer la seguridad de las organizaciones. Sin embargo, la exposición no se limita a las empresas: cualquier usuario de correo electrónico está en riesgo, ya que el objetivo final de los atacantes es robar información o lograr beneficios económicos.

En Colombia, solo en 2024 se registraron alrededor de 36 mil millones de ataques, siendo el phishing una de las técnicas más utilizadas. A nivel global, durante 2023, el ataque de compromiso de correo electrónico (BEC, por sus siglas en inglés) generó pérdidas superiores a los 29 mil millones de dólares.

Pero, ¿qué significan realmente estos términos? Definamos primero phishing y BEC. El phishing es una técnica de engaño mediante la cual los atacantes envían correos fraudulentos que imitan a entidades bancarias, gubernamentales o de salud, con el fin de obtener datos financieros o personales de las víctimas. Por otro lado, el BEC consiste en la suplantación de un ejecutivo o empleado con autoridad para engañar a quienes realizan transacciones o pagos dentro de la organización.

Un artículo de Trend Micro titulado "From Event to Insight: Unpacking a B2B Business Email Compromise (BEC) Scenario" expone una línea de tiempo detallada de un ataque sofisticado basado en BEC. Uno de los principales aprendizajes que deja este caso es que la tecnología puede reducir el riesgo, pero solo si está bien configurada y complementada con la concienciación de los usuarios.

En este tipo de ataques, los ciberdelincuentes modifican la comunicación, alteran información crítica sin que los interlocutores lo noten y comprometen la infraestructura del correo electrónico para llevar a cabo sus fraudes. Ahora bien, ¿se pueden evitar por completo estos ataques? Lamentablemente, no hay garantía de una protección absoluta, pero sí es posible dificultar las acciones de los atacantes implementando medidas clave.

Entre las recomendaciones más importantes que puedo destacar para reducir este tipo de riesgos está el implementar autenticación multifactor (MFA) para las cuentas de correo, realizar auditorías periódicas a las configuraciones de seguridad y a las reglas de reenvío de correos, utilizar mecanismos de cifrado para proteger información sensible, establecer protocolos claros de comunicación para transacciones importantes entre empresas y capacitar constantemente a los usuarios, en especial a los de alto nivel, para que identifiquen posibles intentos de fraude.

Adicionalmente, para los responsables de la infraestructura de correo electrónico en las organizaciones, es fundamental implementar medidas como SPF (Sender Policy Framework), que ayuda a identificar las fuentes válidas de envío de correos; DKIM (DomainKeys Identified Mail), que se encarga de verificar que un mensaje no haya sido modificado durante su envío; y DMARC (Domain-based Message Authentication, Reporting & Conformance), el cual permite definir políticas para los correos no autenticados y reducir el riesgo de ataques.

La seguridad del correo electrónico no es solo un asunto tecnológico, sino también una cuestión de concienciación y buenas prácticas. Con una combinación de tecnología adecuada y capacitación constante, podemos fortalecer nuestras defensas y hacer que los ciberdelincuentes lo tengan mucho más difícil.