Compromiso del Proceso de Negocio: qué y cómo afectan a las empresas estos ataques
Noticias de seguridad Los ataques clasificados como business process compromise, BPC, o de compromiso de los procesos de negocio, alteran en silencio partes de procesos de negocio específicos, o máquinas que facilitan estos procesos, con el fin de generar un beneficio económico significativo para los atacantes. Noticias de seguridad
El alto grado de discreción con el que se llevan a cabo tales ataques a menudo significa que las empresas pueden no localizarlo fácilmente o detectar los cambios de la conducta normal esperada, puesto que las funciones del proceso comprometidas siguen funcionando como se esperaba, pero producen un resultado diferente de lo originalmente previsto, tal y como explica Trend Micro.
BPC se caracteriza por la comprensión profunda de los agentes amenazadores de las operaciones y sistemas internos de las redes objetivo, así como los estándares utilizados por sus organizaciones. Esto les permite hackear, infiltrar o secuestrar procesos empresariales tales como gestión de cuentas, adquisiciones, operaciones de fabricación, pagos y entregas.
El atraco al Banco Central de Bangladesh es un ejemplo reciente de BPC. En este ataque, que provocó pérdidas de hasta 81 millones de dólares, los ciberdelincuentes demostraron que tenían una idea clara de cómo funciona la plataforma financiera SWIFT y que conocían las debilidades de los bancos asociados que la utilizan. Al comprometer la red informática del Banco Central de Bangladesh, los cibercriminales fueron capaces de rastrear cómo se realizaron las transferencias y aprovechar las credenciales del banco para llevar a cabo transacciones no autorizadas.
BPC también se extiende más allá de las transacciones financieras. En 2013, un sistema de seguimiento de contenedores en el puerto marítimo de Amberes en Bélgica fue hackeado para pasar una tonelada de cocaína y heroína al margen de las autoridades portuarias.
BPC puede utilizar las mismas herramientas y técnicas que los ataques dirigidos, pero en lugar de apuntar a datos sensibles, los atacantes de BPC se centran exclusivamente en poder beneficiarse directamente de la alteración de los procesos de negocio. BPC es similar al compromiso de emails de negocio (BEC) en que ambos intentan secuestrar una transacción comercial normal, pero los atacantes BEC confían más en ingeniería social y menos en la alteración real de los procesos de negocio para lograr sus objetivos.
Tipos de Business Process Compromise
• Diversión
Los ataques que caen bajo este tipo de BPC aprovechan las brechas de seguridad en el sistema del flujo de efectivo de la organización. Los agentes de la amenaza son entonces capaces de transferir dinero a canales supuestamente legítimos.
Un ejemplo de este tipo de BPC es el fraude de nóminas, en el que los atacantes o personas malintencionadas con acceso al sistema de nómina pueden agregar empleados fantasma o falsos y usarlos para desviar dinero.
Las transferencias bancarias fraudulentas también caen bajo este tipo de BPC. Los ciberdelincuentes encuentran lagunas en el sistema de transferencia de dinero de un banco y alteran códigos o usan malware para desviar fondos a cuentas que poseen y controlan.
• Piggybacking – o aprovecharse de un sistema existente
Este tipo de BPC aprovecha los procesos clave del negocio, como el transporte de mercancías ilegales y la transferencia de software malicioso, lo que se traduce en grandes ganancias financieras para los atacantes.
• Manipulación financiera
Esta clase de BPC incluye aquellos cuyo objetivo es influir en los resultados financieros y en decisiones importantes de negocios tales como las adquisiciones. Los atacantes hacen esto introduciendo variables maliciosas en un sistema o proceso empresarial clave.
El mercado de valores puede ser manipulado, por ejemplo, cuando un software o sistema comercial está específicamente orientado a inclinar el valor de las acciones. Los comerciantes maliciosos podrían acumular miles o incluso millones de esta volatilidad repentina en el mercado.
Estrategias de defensa contra BPC
1. Analizar el flujo de información de diferentes sensores para detectar anomalías
El análisis de datos del flujo de información de varios sensores o medidas en su lugar puede utilizarse como una línea de base para comparar la congruencia del flujo de información con el fin de detectar cualquier anomalía. Auditar periódicamente todos los registros y transacciones es fundamental para determinar las lagunas y mejorar las condiciones de seguridad del entorno empresarial.
2. Encontrar desviaciones estadísticas sobre prácticas y procesos similares de la industria
Las tecnologías de seguridad como la monitorización del comportamiento y la prevención de intrusiones pueden detectar discrepancias o apuntar a actividades sospechosas en la red. Aparte de esto, las empresas deben aprovechar los datos similares de otras prácticas y procesos industriales o de fuentes disponibles públicamente para servir como medidas adicionales sobre posibles resultados y expectativas.
3. Reforzar la seguridad de los procesos de negocio a través de la recreación de estrategias de enfrentamiento con seguridad operacional (OPSEC)
La contratación de un red team externo para simular los posibles escenarios de ataque desde todos los puntos (tecnologías y herramientas utilizadas, procesos, medidas de seguridad en el lugar, etc.) puede probar la seguridad y resaltar los aspectos comúnmente olvidados o las lagunas en una organización. Este equipo debe estar compuesto por interventores forenses con experiencia en lavado de dinero.
4. Realizar regularmente una garantía de calidad, controles de calidad y pruebas de penetración
Las pruebas de penetración, la garantía de calidad y/o el control de calidad son pasos que muestran las debilidades críticas dentro de la red, como las vulnerabilidades, que pueden ser detectadas. Sin embargo, los pen testers deben trabajar con el concepto de que los atacantes ya tienen el nivel más alto de acceso y en si los procesos en su lugar pueden mitigar estos en caso de un ataque real. También es aconsejable que tales pruebas se centren en la lógica de negocio con el fin de detectar los defectos y debilidades en el proceso de negocio actual que se puede atacar.
5. Restringir las acciones programables
Los atacantes pueden encontrar fallos en la lógica de negocios y aprovecharse de acciones programables dentro del sistema para pagar ciertas acciones. Tales amenazas pueden ser resueltas restringiendo procesos innecesarios.
6. Separar las funciones de los empleados
Para evitar amenazas internas, la distribución de las tareas a diferentes personas en varios departamentos es clave. Por ejemplo, aquellos que manejan las finanzas deben ser diferentes de las TI. Del mismo modo, el equipo que maneja las pruebas del producto no debe ser el mismo que los de la línea de producción para defenderse de los intentos de introducir factores maliciosos.
7. Requiere que dos personas (de diferentes equipos o configuraciones de red) realicen acciones críticas
BPC abusa de procesos legítimos, por lo que es difícil defenderse. Aunque requerir de dos personas no detenga los ataques, hacerlo hará que sea difícil para los atacantes cometer con éxito el robo financiero. En los bancos, por ejemplo, es una práctica común separar las tareas de modo que cuando un ataque ocurre, los atacantes tienen que comprometer dos credenciales particulares.
8. Formar a los empleados para identificar ataques de ingeniería social
La formación en concienciación sobre seguridad capacita a los funcionarios de alto nivel (CEO, CFO, etc.) a que los empleados y partners identifiquen y respondan al BPC. Otras prácticas básicas de seguridad, como la instalación de aplicaciones de confianza y la introducción de información sólo en sitios legítimos, pueden impedir la introducción de riesgos en el nivel del gateway.
