Cómo evitamos un fraude por correo electrónico que modificaba las cuentas bancarias de una empresa

El fraude correo electrónico empresa se ha convertido en una de las amenazas más peligrosas para cualquier organización que gestione facturas, presupuestos o pagos mediante correo electrónico. Esta semana hemos resuelto un nuevo incidente de ciberseguridad en una empresa del sector logístico que llegó a GhM Soluciones Informáticas recomendada por una asesoría que ya trabaja con nosotros.

El problema no era un virus convencional. Los ciberdelincuentes habían conseguido acceder a dos cuentas de correo corporativas y estaban modificando las cuentas bancarias tanto de las facturas recibidas como de las enviadas, intentando desviar los pagos hacia cuentas bajo su control.

Afortunadamente, el fraude fue detectado antes de que ocasionara pérdidas económicas irreversibles.

Cómo detectamos el fraude correo electrónico empresa

El primer indicio fue la aparición de números de cuenta bancaria distintos en facturas que previamente habían sido enviadas correctamente.

Este comportamiento es característico de un ataque conocido como Business Email Compromise (BEC), una técnica utilizada para acceder al correo corporativo, leer conversaciones entre clientes y proveedores y modificar la información bancaria antes de que se realicen las transferencias.

Para determinar el alcance del incidente solicitamos los registros completos de autenticación al anterior proveedor del servicio de correo electrónico.

Fraude correo electrónico empresa: análisis forense de los registros

El análisis de los logs confirmó rápidamente que las cuentas habían sido utilizadas desde un número anormalmente elevado de ubicaciones.

Cuenta de Contabilidad

  • 9.851 autenticaciones correctas.
  • 10 intentos fallidos.
  • 261 direcciones IP diferentes con acceso válido.

Cuenta de Información

  • 7.477 autenticaciones correctas.
  • 420 intentos fallidos.
  • 165 direcciones IP diferentes con acceso válido.

En una empresa es completamente anómalo que un mismo buzón corporativo sea utilizado correctamente desde cientos de direcciones IP diferentes durante un solo mes.

Además, ambas cuentas eran accedidas desde las mismas infraestructuras externas, reforzando la evidencia de un compromiso de credenciales.

Fraude correo electrónico empresa: geolocalización de los accesos

El estudio de las direcciones IP mostró conexiones procedentes de infraestructuras cloud y centros de datos internacionales.

Entre las ubicaciones identificadas destacaban:

  • Estados Unidos.
  • Portugal.
  • Infraestructuras internacionales de Datacenter.
  • Servicios Proxy.
  • Plataformas Cloud utilizadas para automatización.

Las redes más activas pertenecían a proveedores de alojamiento profesional como Datacamp Limited, incompatibles con el funcionamiento habitual de una empresa cuya actividad se desarrolla desde Madrid.

Además, las mismas IP accedían simultáneamente a los dos buzones comprometidos durante prácticamente todo el mes.

Aunque la geolocalización IP nunca constituye una prueba absoluta, la combinación de cientos de autenticaciones correctas, infraestructuras de datacenter y acceso simultáneo a ambos buzones constituye una evidencia técnica muy sólida de compromiso del correo electrónico.

Qué habría ocurrido sin una intervención inmediata

Si el incidente hubiera permanecido activo durante más tiempo, las consecuencias económicas podrían haber sido muy importantes.

Los atacantes podían:

  • Modificar las cuentas bancarias de las facturas emitidas.
  • Alterar las facturas recibidas por proveedores.
  • Leer toda la correspondencia financiera.
  • Suplantar la identidad de la empresa.
  • Mantener acceso permanente al correo corporativo.
  • Preparar nuevas campañas de fraude contra clientes y proveedores.

Este tipo de ataques suele descubrirse cuando un cliente realiza una transferencia bancaria a una cuenta controlada por los delincuentes.

Cómo resolvimos el incidente de seguridad

Tras confirmar el compromiso iniciamos inmediatamente el procedimiento de respuesta.

Las actuaciones realizadas fueron:

  • Eliminación del malware detectado en el equipo principal del departamento de Contabilidad.
  • Revocación de todas las sesiones activas.
  • Cambio completo de credenciales.
  • Revisión forense de todos los registros de autenticación.
  • Implantación de autenticación multifactor (MFA).
  • Migración completa del servicio de correo electrónico a Microsoft 365 Empresa.
  • Protección de todos los equipos mediante Kaspersky Endpoint Security Cloud.
  • Incorporación de Kaspersky for Microsoft 365 para proteger Exchange Online, OneDrive, SharePoint y Microsoft Teams.
  • Revisión completa de las políticas de seguridad del entorno Microsoft 365.
  • Validación de la eliminación total de los accesos no autorizados.

Gracias a estas actuaciones fue posible recuperar el control completo del entorno y eliminar el acceso utilizado por los atacantes.

Cómo prevenir un fraude correo electrónico empresa

La mayoría de los ataques actuales ya no buscan cifrar la información mediante ransomware. Su objetivo es acceder al correo corporativo para manipular pagos y obtener beneficios económicos sin levantar sospechas.

Una estrategia de protección eficaz debe combinar varias capas de seguridad:

  • Microsoft 365 correctamente configurado.
  • Autenticación multifactor.
  • Protección avanzada del correo electrónico.
  • Seguridad Endpoint.
  • Monitorización continua.
  • Revisión periódica de registros de autenticación.
  • Formación de usuarios frente al phishing y la ingeniería social.

La prevención continúa siendo la medida más rentable frente a este tipo de amenazas.

Conclusión

Este caso real demuestra que el compromiso de una cuenta de correo corporativa puede convertirse rápidamente en un fraude económico de gran impacto. Los atacantes consiguieron acceder a dos buzones críticos, analizar las comunicaciones de la empresa y modificar las cuentas bancarias presentes en las facturas para intentar desviar los pagos.

Gracias al análisis forense de los registros, la eliminación del malware, la revocación inmediata de los accesos comprometidos y la migración a un entorno seguro basado en Microsoft 365 protegido con Kaspersky Endpoint Security Cloud y Kaspersky for Microsoft 365, fue posible contener el incidente antes de que generara pérdidas económicas.

La mejor defensa frente a este tipo de ataques continúa siendo una combinación de tecnología, monitorización continua y una correcta estrategia de ciberseguridad adaptada a las necesidades de cada empresa.

Para conocer nuestras soluciones de ciberseguridad visite:
https://ghmsolucionesinformaticas.es

Para más información sobre Microsoft 365 para empresas consulte:
https://www.microsoft.com/es-es/microsoft-365/business