Cómo Barracuda detecta y bloquea los ataques BEC (Business Email Compromise)

El correo electrónico comercial comprometido (BEC) es uno de los tipos de ciberdelincuencia más costosos del mundo actual. El IC3 del FBI calcula que las pérdidas globales por ataques BEC superaron los 2.900 millones de dólares en 2023, y eso sólo por los incidentes denunciados. ¿Qué hace que los BEC sean tan peligrosos? Estos ataques eluden los filtros de spam tradicionales porque no contienen enlaces o archivos adjuntos maliciosos: son correos electrónicos construidos con precisión que parecen correspondencia legítima de una persona de confianza. Barracuda ofrece mecanismos especializados de detección de BEC que abordan este problema allí donde fallan las defensas clásicas.

Índice

1. ¿Qué es un ataque BEC y por qué es tan difícil de detectar?
2. ¿Qué aspecto tiene un ataque BEC típico?
3. ¿Por qué los filtros de spam tradicionales no detectan los BEC?
4. ¿Cómo detecta Barracuda los ataques BEC?
5. Protección contra la apropiación de cuentas
6. Inteligencia artificial y análisis del comportamiento del correo electrónico
7. Principales conclusiones
8. PREGUNTAS FRECUENTES
9. Resumen

¿Qué es un ataque BEC y por qué es tan difícil de detectar?

El correo electrónico comercial comprometido es una categoría de ataques en la que un ciberdelincuente se hace pasar por una persona de confianza -muy a menudo un director general, un director financiero, un abogado de la empresa o un proveedor de confianza- para conseguir que un empleado realice una transferencia bancaria, revele información confidencial o lleve a cabo alguna otra acción financiera o informativa.

La dificultad de detectar los BEC se debe a varios factores. En primer lugar, los ataques BEC son muy selectivos y personalizados: los delincuentes estudian la organización, conociendo su estructura, el estilo de comunicación de la dirección y los proyectos en curso antes de atacar. El mensaje se redacta para que parezca la correspondencia natural de una persona concreta, en lugar de un phishing genérico. En segundo lugar, los mensajes BEC no suelen contener enlaces o archivos adjuntos maliciosos: es sólo texto, por lo que los filtros de firmas de malware y los escáneres de URL no tienen nada que «atrapar». En tercer lugar, los mensajes suelen enviarse desde dominios ligeramente modificados (dominios parecidos) o a través de cuentas de empleados secuestradas, lo que los hace creíbles para el destinatario.

¿Qué aspecto tiene un ataque BEC típico?

Un ataque BEC típico se desarrolla en varias fases. La fase de reconocimiento: el delincuente examina LinkedIn, el sitio web de la empresa, las redes sociales, los documentos públicos, recopilando información sobre la estructura de la organización, quién es el director financiero, quién es el responsable de las transferencias, cuáles son los proyectos y pedidos actuales.

Fase de preparación: registrar un dominio similar (por ejemplo, empresa-facturas.com en lugar de empresa.com), o hacerse con la cuenta de correo electrónico de un empleado mediante phishing, keylogger o ataque de fuerza bruta a una contraseña débil.

Fase de ataque: envío de un mensaje haciéndose pasar por el director general o un proveedor con una solicitud urgente de una transferencia «fuera del procedimiento estándar» (porque tenemos una auditoría, porque la transacción es confidencial, porque tenemos que actuar con rapidez). La presión del tiempo y la autoridad son elementos clave de la ingeniería social BEC.

Fase de cumplimiento: el empleado realiza la transferencia, y normalmente el descubrimiento del fracaso llega unos días después, cuando la persona real pregunta por un pedido que no ha realizado.

¿Por qué los filtros de spam tradicionales no detectan los BEC?

Los filtros de spam clásicos funcionan con firmas: patrones conocidos de URL maliciosas, hashes de archivos maliciosos, listas de reputación de las direcciones IP de los spammers. BEC no utiliza ninguno de estos elementos: el mensaje procede de una dirección maliciosa desconocida pero no etiquetada, no contiene enlaces ni archivos adjuntos y su contenido es el único indicador de malicia.

SPF, DKIM y DMARC -mecanismos estándar de autenticación del correo electrónico- protegen contra la suplantación del dominio de la empresa por remitentes externos, pero no ayudan cuando el ataque procede de un dominio de imitación (un dominio diferente, pero de aspecto similar) o cuando se ha tomado la cuenta de un empleado.

¿Cómo detecta Barracuda los ataques BEC?

Barracuda Email Protection ofrece un mecanismo de detección BEC multicapa basado en inteligencia artificial y análisis del comportamiento. Un componente clave es Barracuda Sentinel, un motor de IA que aprende los patrones normales de comunicación de una organización.

Sentinel analiza cientos de miles de correos electrónicos de una organización, construyendo modelos de comportamiento para cada empleado: con quién suele mantener correspondencia, a qué hora, con qué estilo, desde qué dispositivos. Cuando aparece un mensaje que se desvía de estos patrones -aunque proceda de una dirección válida-, el sistema genera una alerta o bloquea el mensaje.

La detección de dominios similares es otra capa: Barracuda compara el dominio del remitente con los de socios de confianza y de la organización interna, identificando dominios similares pero diferentes (por ejemplo, barracuda.com frente a barracuda-support.com). La inspección de cabeceras detecta discrepancias entre «De» (el remitente mostrado) y «Para-Respuesta» (la dirección de respuesta real), un truco clásico de los BEC.

La integración con soluciones de seguridad web crea una protección multicapa contra los ataques de ingeniería social.

Protección contra la apropiación de cuentas

Muchos ataques BEC utilizan cuentas de empleados secuestradas, lo que los hace extremadamente difíciles de detectar porque el mensaje procede de una cuenta legítima de la empresa. Barracuda Sentinel detecta las cuentas secuestradas mediante análisis de comportamiento: inicios de sesión repentinos desde nuevas ubicaciones geográficas, cambio del patrón de envío, envío de un gran número de mensajes a destinatarios externos, modificación de las reglas de reenvío de correo electrónico.

Cuando el sistema detecta una cuenta potencialmente secuestrada, genera una alerta para el administrador y puede cerrar automáticamente la sesión y requerir una nueva autenticación de la AMF. El análisis retrospectivo también identifica los mensajes enviados desde la cuenta durante un periodo en el que puede haber estado controlada por un atacante.

Inteligencia artificial y análisis del comportamiento del correo electrónico

Barracuda Sentinel entrena los modelos de IA con los datos de comunicación reales de la organización, no con patrones genéricos de phishing. Lo que importa es la diferencia: El director general de una empresa escribe de forma diferente al director general de otra, mantiene correspondencia con personas diferentes y en momentos distintos. Un modelo «adaptado» a una organización concreta es mucho más eficaz que las reglas generales.

El motor analiza: el contenido del mensaje (estilo, vocabulario, longitud de la frase), el asunto del mensaje, la relación entre remitente y destinatario, la hora de envío, el patrón de titulares, el historial de correspondencia entre personas concretas. El resultado del análisis es una evaluación del riesgo, en base a la cual el sistema toma una decisión: entregar, poner en cuarentena, bloquear o añadir un banner de advertencia para el destinatario.

Principales conclusiones

• El BEC es el tipo más costoso de ciberdelincuencia, ya que elude los filtros tradicionales mediante la ausencia de enlaces y archivos adjuntos.
• Barracuda Sentinel detecta BEC mediante IA y análisis de comportamiento específico de la organización, no mediante firmas genéricas.
• La detección de dominios parecidos y la inspección de cabeceras abordan las técnicas de suplantación de identidad más comunes de los BEC.
• La protección contra la apropiación de cuentas detecta anomalías de comportamiento que indican un compromiso de la cuenta.
• Los modelos de IA entrenados en las comunicaciones reales de una organización ofrecen un mayor rendimiento que las reglas genéricas.

PREGUNTAS FRECUENTES

¿Funciona Barracuda Email Protection con Microsoft 365 y Google Workspace? Sí: Barracuda se integra de forma nativa con Microsoft 365 y Google Workspace a través de API, complementando la protección nativa del correo electrónico de estas plataformas con la detección de BEC y el análisis avanzado de comportamientos.

¿Cuánto tiempo se tarda en «enseñar» el modelo de comportamiento Sentinel? Normalmente, Centinela necesita entre 2 y 4 semanas de historial de comunicaciones para construir un modelo de comportamiento fiable. Durante este tiempo, funciona en modo de supervisión sin bloqueo.

¿Puede Barracuda notificar automáticamente a los usuarios los mensajes sospechosos? Sí – Barracuda puede insertar automáticamente banners de advertencia en los mensajes sospechosos, informando al destinatario de que el mensaje procede de una dirección externa o de que se han detectado anomalías.

¿Cómo informa Barracuda de los incidentes BEC al equipo de seguridad? Barracuda ofrece un panel de incidentes con categorización de amenazas, historial de incidentes y exportación a SIEM. Las alertas pueden enviarse por correo electrónico o mediante webhook a sistemas de tickets.

Resumen

Los ataques BEC son precisos, personalizados y cada vez más costosos para las víctimas. La protección tradicional del correo electrónico simplemente no los detecta porque funciona con firmas que BEC no tiene. Barracuda Sentinel y la protección multicapa del correo electrónico de Barracuda abordan este problema mediante IA y análisis de comportamiento adaptados a las particularidades de la organización. Ponte en contacto con Ramsdata para descubrir cómo Barracuda puede proteger a tu organización de los ataques BEC y otras amenazas del correo electrónico.