Ataques BEC (Business Email Compromise): cuando los atacantes se hacen pasar por tu CEO

Cada año, el fraude de correo corporativo —conocido en inglés como Business Email Compromise o BEC— provoca pérdidas de miles de millones de euros en todo el mundo. Y sin embargo, sigue siendo uno de los ataques menos comprendidos por las pymes. No requiere malware sofisticado, no explota vulnerabilidades técnicas complejas y, a menudo, no deja rastro hasta que el dinero ya ha desaparecido.

¿Qué es exactamente un ataque BEC?

Un ataque BEC es una forma de fraude en la que el ciberdelincuente suplanta la identidad de alguien de confianza —tu CEO, un proveedor habitual, el responsable financiero— para engañar a un empleado y lograr que realice una transferencia bancaria, revele credenciales o comparta información confidencial.

A diferencia del phishing masivo, el BEC es un ataque dirigido. El atacante estudia previamente a la empresa: quién toma decisiones, quién gestiona pagos, cuáles son los patrones de comunicación habituales. Luego elabora un correo que parece completamente legítimo.

Las cinco variantes más habituales

1. Fraude del CEO

El atacante se hace pasar por el director general y envía un correo urgente al responsable financiero pidiendo una transferencia inmediata. Suele ocurrir cuando el CEO está de viaje o fuera de la oficina, lo que hace más difícil verificar la petición.

2. Compromiso de cuenta de proveedor

El ciberdelincuente accede a la cuenta de correo real de un proveedor y, desde ahí, envía una factura modificada con nuevos datos bancarios. La víctima cree estar pagando una factura legítima.

3. Suplantación del departamento financiero

Alguien que parece ser el responsable de contabilidad solicita un pago urgente fuera de los canales habituales. Aprovechan momentos de cambio de personal o cierres de mes.

4. Fraude del abogado

Se suplanta a un asesor legal en un momento crítico (cierre de una adquisición, resolución de un litigio) para desviar fondos o conseguir documentación sensible.

5. Robo de datos

No siempre el objetivo es el dinero. A veces el BEC busca conseguir nóminas, datos de empleados o información fiscal para preparar fraudes posteriores.

¿Por qué funciona tan bien?

Los ataques BEC explotan comportamientos humanos muy arraigados: la jerarquía (si lo pide el jefe, se hace), la urgencia (no hay tiempo para verificar) y la confianza (conozco esta dirección de correo).

Técnicamente, muchos BEC ni siquiera falsifican el dominio: crean dominios muy similares al real (blindara.com → bl1ndara.com) o simplemente modifican el nombre visible del remitente en el cliente de correo. Sin las protecciones adecuadas, el correo llega limpio a la bandeja de entrada.

Según el FBI, en 2023 el BEC causó pérdidas globales superiores a 2.900 millones de dólares, siendo el tipo de cibercrimen más costoso en términos absolutos. En España y América Latina, los casos han crecido especialmente en sectores como la construcción, los servicios profesionales y el comercio internacional.

Cómo proteger tu empresa

Verificación fuera de banda para transferencias

Cualquier petición de transferencia bancaria —especialmente si llega por correo— debe verificarse por un segundo canal: una llamada telefónica al número conocido del remitente, nunca al que aparece en el correo sospechoso. Este proceso debe estar documentado y ser obligatorio, sin excepciones por urgencia.

Autenticación del correo (SPF, DKIM, DMARC)

Configurar correctamente SPF, DKIM y DMARC en tu dominio dificulta que los atacantes suplanten tu dirección de correo hacia terceros. Pero ojo: no te protege de que falsifiquen el dominio de tu proveedor o de un cliente.

Formación del equipo financiero y directivo

Las personas que más riesgo tienen son quienes gestionan pagos o tienen acceso a información sensible. Deben conocer el patrón del fraude del CEO y saber que ninguna urgencia justifica saltarse los protocolos de verificación.

Alertas sobre cambios de datos bancarios

Cualquier solicitud de cambio de cuenta bancaria de un proveedor debe tratarse como una señal de alerta y verificarse siempre por teléfono antes de actualizar los registros.

Monitorización de correo y detección de anomalías

Las soluciones de monitorización pueden detectar patrones inusuales: correos enviados fuera de horario, desde ubicaciones nuevas, o con adjuntos no habituales. La detección temprana puede marcar la diferencia entre un incidente contenido y una pérdida irreversible.

Si recibes un correo sospechoso

No respondas, no hagas clic en ningún enlace y no descargues adjuntos. Notifica de inmediato al responsable de seguridad o a quien gestione la ciberseguridad en tu empresa. Si ya has realizado una transferencia sospechosa, contacta con tu banco lo antes posible —las primeras horas son críticas para intentar revertir el pago— y presenta una denuncia ante la Policía Nacional o el INCIBE (España) o el organismo equivalente en tu país.

Conclusión

El BEC no se detiene con un antivirus. Se detiene con procesos claros, formación continua y la cultura de que verificar no es desconfianza, sino responsabilidad. En un entorno donde una sola transferencia fraudulenta puede suponer decenas de miles de euros en pérdidas, el protocolo de doble verificación es la inversión más rentable que puede hacer tu empresa.

¿Sabes si ahora mismo hay alguien leyendo los correos de tu CEO o de tu departamento financiero sin que lo sepan? Blindara detecta accesos anómalos a cuentas de correo corporativas, reglas de reenvío sospechosas y patrones de actividad que pueden indicar que una cuenta está comprometida, antes de que llegue la transferencia fraudulenta. Solicita tu análisis gratuito y descubre tu nivel de exposición real.