Ciberseguridad 101 — Amenazas y Ataques

¿Qué es el Compromiso de Correo Empresarial?

El compromiso de correo empresarial (BEC) es un fraude que suplanta a una persona de confianza —un jefe, un proveedor o un colega— para engañar a su empresa y lograr que transfiera dinero a un atacante.

La definición en palabras sencillas

Un engaño dirigido directamente a su cuenta bancaria

El compromiso de correo empresarial es una forma dirigida de ingeniería social en la que un atacante usa el correo electrónico para hacerse pasar por alguien en quien su empresa confía y luego manipula a una persona para que envíe dinero o información confidencial. A diferencia de un ataque de malware rápido y ruidoso, el BEC es silencioso y preciso: a menudo no hay virus, ni enlace malicioso, ni nada que una herramienta de seguridad pueda detectar, solo un correo creíble que solicita un pago.

Esa sutileza es precisamente lo que hace al BEC tan peligroso y tan costoso. El FBI lo clasifica de forma constante entre las categorías de cibercrimen con mayores pérdidas, con miles de millones de dólares robados cada año, y las pequeñas empresas están justo en la mira porque a menudo carecen de los controles de pago que tienen las empresas más grandes. Un solo BEC exitoso puede vaciar una cuenta de nómina o las ganancias de un trimestre en una sola transferencia.

Cómo funciona

Cómo se desarrolla un fraude BEC

El BEC suele comenzar con investigación. El atacante estudia su empresa —quién maneja las finanzas, quiénes son sus proveedores, cómo fluyen las facturas— usando su sitio web, LinkedIn y, a veces, un buzón previamente vulnerado. Con ese contexto, elabora una solicitud que encaja con naturalidad en su operación diaria. Dominan dos enfoques: la suplantación, en la que el atacante falsifica o imita de cerca una dirección de correo de confianza ("ceo@suempresa.com" frente a un dominio parecido), y el secuestro de cuenta, en el que realmente ha obtenido acceso a un buzón real —a menudo mediante phishing— y envía desde dentro de él.

El gancho casi siempre es el dinero y la urgencia: una transferencia que debe salir hoy mismo, una factura con datos bancarios "actualizados", una adquisición confidencial que no se puede comentar con nadie. Cuando el atacante controla un buzón real, puede acechar durante semanas, leyendo los hilos para aprender el tono y los tiempos de la empresa, y luego insertar silenciosamente instrucciones de pago fraudulentas en una conversación genuina y en curso. Para cuando alguien lo nota, el dinero ya se ha transferido, ha pasado por varias cuentas y, en la práctica, ha desaparecido.

Formas comunes

Las variantes de BEC a vigilar

Fraude del director ejecutivo

Un mensaje falso del jefe presiona a un empleado de finanzas para que realice una transferencia urgente y confidencial: "Estoy en una reunión, encárgate tú".

Fraude de proveedor / factura

Un atacante que se hace pasar por un proveedor real envía "datos bancarios actualizados", redirigiendo su próximo pago legítimo a su propia cuenta.

Desvío de nómina

Un falso "empleado" escribe a Recursos Humanos para cambiar su cuenta de depósito directo, robando silenciosamente el siguiente sueldo.

Pretexto de abogado / adquisición

El atacante se hace pasar por un abogado que gestiona un trato delicado y con presión de tiempo para justificar el secreto y un pago rápido.

Fraude de tarjetas de regalo

Una variante de menor cuantía pero común: un "gerente" pide con urgencia al personal que compre tarjetas de regalo y envíe los códigos.

BEC de solicitud de datos

En lugar de dinero, el atacante pide formularios fiscales de empleados o registros de clientes para alimentar fraudes posteriores.

Cómo proteger su empresa

Aquí el proceso supera a la tecnología

Como el BEC a menudo no incluye malware, sus defensas más fuertes son los procesos de pago y los hábitos de verificación, respaldados por algunos controles técnicos:

  • Verifique cada cambio de pago por teléfono. Cualquier dato bancario nuevo o modificado se confirma llamando a un número que ya tiene registrado, nunca a uno proporcionado en el correo.
  • Exija doble aprobación para las transferencias. Haga que cualquier transferencia por encima de un umbral fijo requiera a dos personas. Un solo buzón comprometido no debería poder mover dinero por sí solo.
  • Proteja el correo con MFA. La mayoría de los secuestros de cuenta comienzan con una contraseña robada; la autenticación multifactor detiene a la mayoría de ellos.
  • Configure SPF, DKIM y DMARC. Estos ajustes de autenticación de correo dificultan mucho que los atacantes falsifiquen su dominio y ayudan a señalar a los suplantadores.
  • Entrene la urgencia como señal de alerta. Enseñe a finanzas y a Recursos Humanos que "urgente + confidencial + transferencia" debe activar la verificación, no la prisa.

Si una transferencia fraudulenta llega a concretarse, actúe en cuestión de horas: contacte a su banco para intentar revertirla, presente un informe ante el IC3 del FBI y verifique si un buzón fue comprometido. Red Hound puede ayudarle a construir los controles de pago y las defensas de correo que detienen el BEC antes de que comience; empiece con una llamada de 30 minutos.

Preguntas frecuentes

Preguntas comunes sobre el BEC

¿Qué es el compromiso de correo empresarial en términos sencillos?

El compromiso de correo empresarial (BEC) es un fraude en el que un atacante se hace pasar por una persona de confianza —un directivo, un proveedor o un colega— por correo electrónico para engañar a su empresa y lograr que transfiera dinero o comparta datos confidenciales. A menudo no hay malware involucrado, solo engaño.

¿En qué se diferencia el BEC del phishing común?

La mayor parte del phishing busca robar contraseñas o propagar malware a gran escala. El BEC es muy dirigido y se centra en el dinero o los datos: una solicitud personalizada, a menudo urgente, que suplanta a alguien en quien usted confía, con frecuencia sin ningún enlace malicioso, razón por la cual los filtros lo pasan por alto.

¿Cómo se ve un ataque BEC?

Las formas comunes incluyen un falso "director ejecutivo" que solicita con urgencia una transferencia, un proveedor que envía datos bancarios actualizados para una factura, una solicitud de redirección de nómina, o un buzón comprometido que altera silenciosamente las instrucciones de pago en facturas reales.

¿Cómo puede una pequeña empresa prevenir el BEC?

Verifique todos los cambios de pago y de datos bancarios por teléfono usando un número conocido, exija doble aprobación para las transferencias, active la autenticación multifactor en el correo, configure SPF/DKIM/DMARC, y capacite al personal de finanzas para tratar la urgencia como una señal de alerta en lugar de un motivo para apresurarse.

Relacionado

Siga aprendiendo

Obtenga gratis la Lista de Verificación de Seguridad para PYMES

Una lista breve y en lenguaje claro que cubre los controles de correo y de pago que frenan en seco el fraude BEC. Diseñada para pequeñas y medianas empresas.

Obtener la lista gratuita

O reciba consejos de seguridad en lenguaje claro por correo: