“Y, y recordé aquel viejo chiste. Aquel del tipo que va al psiquiatra y le dice: doctor, mi hermano está loco, cree que es una gallina. Y el doctor responde: ¿pues por qué no lo mete en un manicomio? y el tipo le dice: lo haría, pero necesito los huevos. Pues eso es más o menos lo que pienso sobre las relaciones humanas, ¿sabe? son totalmente irracionales, locas y absurdas; pero supongo que continuamos a mantenerlas porque la mayoría necesitamos los huevos.”Woody Allen – Alvy Singer, personaje de la película Annie Hall
No es la primera, ni la última vez, que un cliente me reporta un pago realizado a una cuenta que noes la de su proveedor. Cada vez es más frecuente. Es un problema que se puede resolver fácilmente, pero no se quiere o no se tiene interés en pagar por unos servicios que impiden que este tipo de problema se repita, o más bien, se detecte y solucione.
Protegiendo a tu empresa del ataque “Man in the Middle” (MITM) en la cadena de pagos
Este tipo de ataque, «Man in the Middle» (MITM) es la manipulación por un tercero de facturas y correos electrónicos en las relaciones comerciales entre empresas y proveedores. Este tipo de estafa ocurre cuando un ciberdelincuente intercepta y manipula la comunicación entre dos partes sin que ninguna de ellas lo sepa, cambiando detalles como las direcciones de correo electrónico o las cuentas bancarias en facturas para desviar fondos hacia cuentas controladas por los estafadores.
Descripción del problema: cómo funciona el ataque MITM en pagos corporativos
En el contexto de pagos empresariales implica la intercepción de correos electrónicos que contienen información financiera, como facturas. El atacante se sitúa en el medio de la comunicación entre una empresa y su proveedor, interceptando y alterando la correspondencia. El objetivo principal suele ser cambiar la información de la cuenta bancaria en la factura para que los pagos se envíen a una cuenta fraudulenta en lugar de a la cuenta del proveedor legítimo.
Este ataque puede ocurrir de varias maneras:
Compromiso de cuentas de correo electrónico: El atacante puede haber tomado control de la cuenta de correo de un empleado o proveedor mediante phishing, malware o fuerza bruta, lo que le permite leer y modificar los correos electrónicos antes de que lleguen al destinatario.
Intercepción en redes inseguras: Si alguna de las partes utiliza una conexión de red insegura, como redes Wi-Fi públicas, los atacantes pueden interceptar los correos y alterarlos.
Manipulación de DNS: Los atacantes pueden utilizar ataques de DNS para redirigir el tráfico a servidores maliciosos sin que las víctimas lo sepan. Es importante disponer de servicios de DNS de confianza y que respeten la privacidad. Ya escribí sobre eso antes.
Ejemplo de un ataque típico
Supongamos que tu empresa «Desatascos Manrique SL» tiene una relación comercial con un proveedor, «Camiones Evertruck» y el flujo normal implica que Camiones Evertruck envíe facturas por correo electrónico con sus datos bancarios.
Un atacante logra comprometer la cuenta de correo de Camiones Evertruck o la de Desatascos Manrique y empieza a monitorear la comunicación.
Si es la de Camiones Evertruck, Cuando envía una factura legítima, el atacante intercepta el correo, cambia el número de cuenta bancaria a una controlada por ellos y luego reenvía el correo alterado a Desatascos Manrique. La empresa paga la factura sin saber que el dinero ha sido transferido a la cuenta del estafador.
Si es la de Desatascos Manrique, puede modificar la factura en la bandeja de entrada y dejar la factura alterada en la misma bandeja. Igualmente, la empresa paga la factura sin saber que el dinero ha sido transferido a la cuenta del estafador.
Consecuencias del ataque MITM
-
Pérdida financiera directa: La empresa paga a los estafadores en lugar de a los proveedores legítimos, recordemos que la responsabilidad del pago es del que lo realiza. Si metiste los dígitos del IBAN en la aplicación del banco y realizaste la transferencia, el banco no será responsable (aunque tenga su grado de responsabilidad) porque así lo vienen diciendo los jueces.
-
Ruptura de relaciones comerciales: La relación entre la empresa y el proveedor se verá gravemente afectada, a veces incluso, se interrumpe la relación por cuestiones obvias.
-
Daño reputacional: Las empresas afectadas ven su reputación por los suelos al verse involucradas en incidentes de ciberseguridad.
Cómo resolver y prevenir estos ataques
Para evitar que este tipo de ataques, las empresas deben implementar un enfoque integral de la cadena de pagos, que incluya la seguridad dentro del proceso. El problema técnico se puede resolver fácilmente con procesos de verificación tanto del documento como del propio proceso.
Autenticación multifactor (MFA) en las cuentas de Correo Electrónico
El uso de autenticación multifactor (MFA) es crucial para proteger las cuentas de correo electrónico. MFA agrega una capa adicional de seguridad, requiriendo algo más que solo una contraseña para acceder a las cuentas. Las empresas deben asegurarse de que tanto sus empleados como los proveedores utilicen MFA en todas las cuentas que manejan información financiera. Si tus proveedores no tienen capacidad para disponer de esa tecnología o el conocimiento, podemos ofrecerle ese servicio, para que la cadena de pagos esté totalmente protegida. Te acepto las facturas si vienen de una cuenta de correo de canal seguro, protegida por MFA.
Cifrado de correos electrónicos
Implementar cifrado de extremo a extremo en las comunicaciones por correo electrónico. Fundamental para prevenir la intercepción y manipulación de mensajes.
Herramientas como PGP (Pretty Good Privacy) o servicios de correo cifrado como ProtonMail pueden garantizar que los correos solo puedan ser leídos por el destinatario legítimo siempre. Si decide la segunda opción, los correos que van de una cuenta de ProtonMail a otra de ProtonMail, van encriptados y de conocimiento cero, es decir, como no salen del servidor de ProtonMail, los datos no pueden ser leídos ni siquiera por el proveedor. Existen Servidores que pueden implementar esta capacidad con infraestructura propia y algunos proveedores lo ofrecen como servicio.
Verificación fuera de línea
Establecer procedimientos de verificación fuera de línea es necesario cuando se producen cambios. Esto implica contactar al proveedor por teléfono o por otros medios, para confirmar detalles críticos de la factura, como el número de cuenta bancaria, antes de realizar el pago. Esta verificación debe realizarse usando información de contacto previamente acordada, no los datos proporcionados en el mismo correo electrónico, que probablemente sean falsos también.
Implementación de software de detección de fraudes
Utilizar software avanzado de detección de fraudes. Es importante detectar actividades sospechosas, buscar patrones de uso que puedan ser inusuales.
Podemos implementar la factura electrónica e impedir que nuestros proveedores nos envíen facturas que no puedan validarse de manera efectiva.
Software de validación de IBAN. Algunos bancos como BBVA ofrecen ese servicio. Podemos detectar si la cuenta donde vamos a realizar la transferencia es del titular de la factura o no.
Herramientas como ProofPoint Email Protection permiten detectar y bloquear correos que pueden ser maliciosos, ofrecen una capa de seguridad adicional al correo electrónico. Su tecnología detecta y bloquea ataques de Business Email Compromise (BEC), que son comunes en los escenarios de MITM.
Otras como OpenDKIM, un paquete de software de código abierto que implementa el protocolo DKIM (DomainKeys Identified Mail), el cual permite a las organizaciones firmar digitalmente sus correos electrónicos. Esto asegura que los correos no hayan sido modificados en tránsito, una protección clave contra los ataques MITM. Garantiza que los correos electrónicos no hayan sido alterados desde su origen y protege contra ataques de suplantación y manipulación de datos.
Protección de redes y DNS seguros
Asegurar que todas las comunicaciones entre tu empresa y los proveedores se realicen a través de redes seguras.
Utilizar redes privadas virtuales (VPN) que sean de confianza como ProtonVPN, iVPN o MullvadVPN para proteger el tráfico de internet, para poner más difícil los ataques externos al correo. También utilizar DNS seguros, como Quad9 o Cloudflare DNS, que ayudan a evitar que los atacantes intercepten las comunicaciones en redes inseguras o modifiquen las consultas DNS.
Capacitación en ciberseguridad para el personal
Los empleados deben ser entrenados en las mejores prácticas de ciberseguridad, incluyendo cómo identificar intentos de phishing, ataques de ingeniería social y fraudes financieros. Es importante estar atentos, muy atentos.
La formación debe enfatizar la importancia de la verificación manual de los datos financieros antes de realizar transferencias.
Control de acceso y segregación de funciones
Limitar los permisos de acceso a las cuentas de correo electrónico y a la información financiera a solo aquellos empleados que realmente los necesitan y que han sido convenientemente entrenados.
Implementar la segregación de funciones y de acceso. Es importante que antes de realizar la transacción, haya personas que hayan validado los documentos de pago, las facturas y que queden como datos de alerta las modificaciones que se hayan hecho en última hora. Si se modifica una cuenta de pago, es importante que se valide. Se trata de reducir el riesgo de fraude.
Contratos inteligentes y blockchain
A largo plazo, las empresas empezarán a implantar contratos inteligentes basados en blockchain para gestionar transacciones y pagos, como mecanismo mucho más seguro y transparente, aunque esto tardará.
Estos contratos automatizan los procesos de verificación y pago de manera segura, minimizando la posibilidad de manipulación humana.
El problema del ataque Man in the Middle (MITM), es un problema muy serio, que supone grandes pérdidas a empresas y organismos públicos y privados. Requiere una estrategia integral para su prevención.
Medidas como la autenticación multifactor, el cifrado de correos electrónicos, la verificación fuera de línea y el uso de software de detección de fraudes, mitiga significativamente los riesgos.
La capacitación del personal y la mejora de los controles internos son esenciales para evitar futuras estafas. Si tu empresa ya se enfrentó a un problema de éste tipo, volverá a enfrentarse en el futuro. ¿quieres evitarlo?. Los estafadores están ahí esperando que te confundas o cometas errores. Evítalo ya.