1 41 Table of Contents 43 116

Segurilatam 025

/ Segundo cuatrimestre 2023 42 artículo técnico Ciberseguridad L os ataques de fraude BEC (siglas de Business E-mail Compromise) son un ciberde- lito donde el estafador utiliza el correo electrónico para intentar que alguien envíe dinero o revele información confidencial de la empresa. Durante va- rios trabajos de investigación forense en incidentes de fraude BEC nos ha quedado la sensación de duda sobre la posibilidad del atacante o cómplice interno. De acuerdo con todas las noticias so- bre el cibercrimen organizado, cuando se oye sobre estos ataques, donde las criptomonedas son la moneda de pago, inmediatamente imaginamos un com- plejo esquema con ciberatacantes sofis- ticados y complejas redes criminales. Caso de investigación En uno de los varios casos que nos han dejado esta sensación, el fraude BEC significó enviar dinero a bancos en países de Asia donde, por diferentes motivos, solicitar apoyo y, sobre todo, información se hacía muy difícil. Todo parecía encuadrar en un típico ataque de compromiso del CEO. Sin embargo, como parte del método propio de investi- gación, se validaron todas las opciones, desde el mismo núcleo de las personas hasta el escenario externo de sofistica- dos APT como los que tiene, por ejem- plo, la matriz Mitre ATT&CK. En las redes sociales encontramos que uno de los directores, precisamente, había pasado tiempo en su juventud en el país destino de los envíos de dinero. A partir de esto fijamos uno de los ob- jetivos en ese vector: direcciones IP de visita al sitio web y el correo electróni- co. Evidentemente, se encontraron ras- tros que nos conducían hacia personas al otro lado del mundo. Y cuando esta variable llegó a la alta dirección, se nos pidió detener la investigación por cuan- to la empresa aseguradora ya estaba aceptando el ataque como inevitable y cubriría el daño económico. Cobro del seguro En muchos casos, la investigación se di- rige hacia el cobro del seguro, dejando de lado la búsqueda del posible autor o autores. En este escenario, el phishing básico, el spear phishing , el pharming o el whaling son las variantes más utiliza- das frente a opciones como keyloggers , claves triviales, repositorios temporales, basureros lógicos, volcado de memoria RAM e incluso shoulder surfing . El cómplice interno en supuestos ataques de fraude BEC G uido R osales U riona G eneral M anager de Y anapti SRL

RkJQdWJsaXNoZXIy MTI4MzQz