Los ataques de fraude BEC (siglas de Business E-mail Compromise) son un tipo de ciberdelito donde el estafador utiliza el correo electrónico para intentar que alguien envíe dinero o revele información confidencial de la empresa. Durante varios trabajos de investigación forense en incidentes de fraude BEC nos ha quedado la sensación de duda sobre la posibilidad del atacante o cómplice interno.
De acuerdo con todas las noticias sobre el cibercrimen organizado, cuando se oye sobre estos ataques, donde las criptomonedas son la moneda de pago, inmediatamente imaginamos un complejo esquema con ciberatacantes sofisticados y complejas redes criminales.
Fraude BEC: caso de investigación
En uno de los varios casos que nos han dejado esta sensación, el fraude BEC significó enviar dinero a bancos en países de Asia donde, por diferentes motivos, solicitar apoyo y, sobre todo, información se hacía muy difícil. Todo parecía encuadrar en un típico ataque de compromiso del CEO. Sin embargo, como parte del método propio de investigación, se validaron todas las opciones, desde el mismo núcleo de las personas hasta el escenario externo de sofisticados APT como los que tiene, por ejemplo, la matriz Mitre ATT&CK.
En las redes sociales encontramos que uno de los directores, precisamente, había pasado tiempo en su juventud en el país destino de los envíos de dinero. A partir de esto fijamos uno de los objetivos en ese vector: direcciones IP de visita al sitio web y el correo electrónico. Evidentemente, se encontraron rastros que nos conducían hacia personas al otro lado del mundo. Y cuando esta variable llegó a la alta dirección, se nos pidió detener la investigación por cuanto la empresa aseguradora ya estaba aceptando el ataque como inevitable y cubriría el daño económico.
Cobro del seguro
En muchos casos, la investigación se dirige hacia el cobro del seguro, dejando de lado la búsqueda del posible autor o autores del ciberataque. En este escenario, el phishing básico, el spear phishing, el pharming o el whaling son las variantes más utilizadas frente a opciones como keyloggers, claves triviales, repositorios temporales, basureros lógicos, volcado de memoria RAM e incluso shoulder surfing.
Sin duda, el escenario del atacante interno podría desnudar debilidades de control interno e incluso en muchos casos de negligencia tanto de los niveles de dirección como de los medios más operativos, lo cual afectaría al cobro del seguro por incumplimiento de cláusulas y recomendaciones de control preventivo. Y lo más crítico: podría identificar autorrobo, ya sea directo, por evasión impositiva u otros motivos.
Entonces, indagar sobre el atacante o cómplice interno no es una buena opción si pensamos en el resarcimiento de los montos económicos comprometidos. La investigación es más cómoda para todos si apunta a supuestos y sofisticados cibercriminales.
Exfiltración interna
En el posible, propuesto, muchas veces se encuentran rastros de escaneos de vulnerabilidades en los logs de dispositivos de seguridad perimetral como IDS o firewall. Incluso rastros de ataques de fuerza bruta que darían la sensación de haber estado sometido a estas ciberincursiones sin poder afirmar o negar si en algún momento fueron exitosas. También se encuentra mucho rastro de malware detectado o correos con intentos de phishing bajo la misma lógica posible, pero no comprobado éxito.
En un ataque de fraude BEC se asume que los intrusos conocen la operativa del negocio merced al acceso irrestricto que logran a las cuentas de correo corporativo. Pero, ¿y si ese conocimiento en realidad es una exfiltración interna y no fruto de una infiltración externa? Quizá le damos mucha valoración a la posibilidad de ciberataque cuando se pueden estar usando técnicas de intrusión más propias del mundo físico tradicional, de los tiempos en que se comprometían personas no con ingeniería social, sino bajo la vieja escuela del soborno, el chantaje o la extorsión.
Investigación forense
En el escenario de un ciberatacante o cómplice interno se debería desarrollar una investigación forense en el ámbito penal. Contrariamente, cuando se asume por verdad la opción de un sofisticado ciberataque, se justifica bajo ese manto tecnológico. Y dado que el marco de cumplimiento y los actores de organismos destinados a la investigación no están lo suficientemente maduros, nadie pierde.
Alguien podría decir que el perdedor sería la empresa aseguradora. Pero esta tiene, a su vez, un reaseguro. Y si cuantificamos las pérdidas frente a las ganancias por las primas del sector asegurador, terminamos demostrando que son parte de la pérdida y los siniestros esperados para alimentar la cultura del seguro.
Conclusión
En la investigación forense de ciberincidentes se debe aplicar el principio inverso de la inocencia, y apuntar a que todos pueden ser culpables o tener algún grado de participación por acción u omisión, para desarrollar la investigación e ir descartando las opciones por su probabilidad y, si fuera posible, encontrar la verdad de los hechos. El investigador no debería asumir resultados por los aparentes indicios iniciales. Y, peor aún, por la conveniencia de los resultados en términos de fuente y montos de resarcimiento.