Microsoft ha publicado la cuarta edición de CyberSignals, su informe trimestral que muestra las tendencias, tácticas y soluciones más importantes en la actualidad del panorama digital de amenazas. Según la última edición, ha habido un aumento del 38% en la actividad cibercriminal relacionada con el compromiso del correo electrónico empresarial (BEC) entre 2019 y 2022.
Este tipo de ataques se diferencia por su énfasis en la ingeniería social y el arte del engaño, en lugar de explotar vulnerabilidades en dispositivos. Los operadores de BEC suelen utilizar correos electrónicos, llamadas telefónicas o divulgación en redes sociales, suplantando mensajes de solicitud de autenticación y suplantando la identidad de individuos y empresas. Entre abril del 2022 y abril del 2023, Microsoft ThreatIntelligence registró un promedio de 156,000 intentos BEC diarios.
Microsoft destaca que los atacantes están usando plataformas como BulletProftLink, un servicio popular para crear campañas de correo malicioso a escala industrial, para mejorar la escala, la plausibilidad y la tasa de éxito en la bandeja de entrada de los mensajes maliciosos.
Los ataques BEC ofrecen un gran ejemplo de por qué el riesgo cibernético debe abordarse de manera multifuncional con el oficial de TI, cumplimiento y riesgo cibernético en la mesa junto con ejecutivos y líderes, empleados de finanzas, gerentes de recursos humanos y otros con acceso a registros de empleados.
