Ataques BEC: cómo los ciberdelincuentes estafan a contables y se llevan el botín

Ataques BEC: cómo los ciberdelincuentes estafan a contables y se llevan el botín

En los últimos años, el término BEC (Business Email Compromise) se ha consolidado como un símbolo de las pérdidas corporativas y de los dolores de cabeza para los equipos de seguridad en todo el mundo. Podría parecer que el correo electrónico es una herramienta laboral habitual y que sus amenazas son bien conocidas. Pero las ataques BEC reúnen todo el arsenal de ingeniería social, falsificación de comunicaciones e incluso elementos de presión psicológica sobre empleados, con frecuencia sobre contables, responsables financieros y directivos.

¿Por qué precisamente el contable? Muy sencillo: en manos de este profesional están los fondos de la empresa, el acceso a sistemas de pago y la posibilidad de transferir sumas importantes con rapidez. Ahí radica el principal peligro del BEC: mientras el phishing estándar suele orientarse a envíos masivos de adjuntos maliciosos, un ataque de tipo Business Email Compromise es un fraude dirigido y bien preparado, que apuesta por el engaño, la confianza y la máxima verosimilitud de los correos falsos.

Veamos cómo funcionan estas estafas en la práctica, en qué se diferencian de otros tipos de fraude por correo electrónico, cuáles son las etapas principales de preparación y ataque y, lo más importante, cómo protegerse a uno mismo y a la organización para evitar la pérdida de millones de rublos o dólares por un solo descuido.

Esencia y características de los ataques BEC: por qué esto no es un phishing común

Los ataques BEC no se basan en la masividad. No son esos correos con errores gramaticales, las historias del “príncipe nigeriano” o las amenazas de bloqueo de cuenta. Aquí todo es más sutil: el atacante estudia la estructura de la empresa, entiende las cadenas de aprobación, averigua quién es responsable de qué y luego imita la correspondencia de un directivo, cliente o compañero real. El objetivo clave es convencer al contable o al empleado financiero de que transfiera fondos a las cuentas del atacante.

Para preparar el ataque, el ciberdelincuente suele invertir semanas o incluso meses: investiga en LinkedIn, en sitios corporativos, sigue noticias y a veces accede al correo interno por phishing o aprovechando contraseñas débiles. Cuanta más información sobre la vida interna de la empresa, mayores son las probabilidades de éxito.

Los correos que recibe el contable suelen parecer totalmente legítimos: firma correcta, estilo de comunicación actual y hasta el historial reciente de la correspondencia puede ser copiado o interceptado por el atacante. A veces el mensaje proviene de una dirección que difiere del dominio real en solo una letra. Otras veces el ataque se realiza dentro de una conversación real tras el secuestro de una cuenta de correo.

Objetivos principales y formas de influir en la víctima

A diferencia de otros tipos de ataques, aquí no se busca infectar el equipo con un virus ni obtener contraseñas. El objetivo principal es obtener una transferencia de dinero. Para ello se emplean distintos escenarios:

  • Correo falso en nombre de un directivo con la solicitud urgente de realizar un pago.
  • Falsificación de un mensaje de un proveedor con datos bancarios modificados.
  • Compromiso de una cuenta de correo real (por ejemplo, la del CEO) para enviar órdenes desde esa cuenta.
  • Intercepción de una correspondencia comercial y su sustitución en el momento oportuno, por ejemplo cuando se espera una operación importante.

El mecanismo clave es la ingeniería social. El correo puede contener mensajes de urgencia (“¡Urgente! El socio espera la transferencia!”), peticiones de confidencialidad (“No se lo digas a nadie, es un asunto de fusión”), alegaciones de ausencia del responsable (“Estoy en reunión, no se puede llamar”) o el uso de jerga empresarial habitual en la comunicación interna.

En algunos casos la víctima es presionada para actuar deprisa, sin comprobar, bajo la amenaza de “perder el trato” o “dejar en evidencia a toda la empresa”. La apuesta por las emociones y el miedo es clásica en este tipo de fraudes.

Etapas de preparación y ejecución de un ataque BEC

Una de las principales razones de la eficacia del BEC es la meticulosa preparación. No hay prisa; el éxito depende directamente del conocimiento del atacante sobre la “cocina” interna de la empresa. Normalmente todo comienza con el reconocimiento.

1. Recolección de información

En esta fase los atacantes analizan fuentes públicas y semi-públicas: sitios web, comunicados de prensa, perfiles de empleados en redes sociales, foros y bases de datos de contraseñas filtradas. Muestran especial interés por contables, directores financieros, jefes de departamento y sus asistentes.

Con frecuencia es posible encontrar en la red ejemplos de documentos corporativos, firmas habituales en correos o plantillas de contratos; todo ello sirve para construir una comunicación creíble. Si logran identificar la dirección de correo real de un empleado, la siguiente meta es falsificar una dirección parecida o intentar obtener acceso a ella.

2. Inserción en la comunicación interna

A menudo los atacantes empiezan con phishing tradicional: envían un correo con un enlace a una página maliciosa para obtener credenciales. A veces usan malware, otras veces basta un engaño bien ejecutado. Tras obtener acceso al correo, el atacante monitoriza la correspondencia sin delatarse y espera el momento oportuno.

En otro escenario se crea un dominio falso que imita al original lo máximo posible: por ejemplo, ejemplo-corp.com en lugar de primer-corp.com. Desde él se envían correos a empleados o socios.

3. Sustitución de datos bancarios o iniciación del pago

Cuando surge la oportunidad, el delincuente interviene en la correspondencia entre la empresa y el proveedor o crea un correo con una orden de pago. En la sustitución de datos se copia el mensaje real pero con la cuenta modificada para el pago. Si el objetivo es lograr una transferencia rápida del contable, el mensaje aparenta provenir del director general u otra persona con autoridad.

El correo suele incluir señales de urgencia y a veces insistir en la confidencialidad, para evitar que el empleado consulte con colegas o con la dirección. En esta fase el “guion” del ataque ya está planificado al minuto y la reacción dependerá de cuánto tarde el contable en sucumbir a la manipulación.

4. Cobro del dinero y ocultación de rastros

Una vez realizada la transferencia, los fondos normalmente se envían a la cuenta de una empresa de papel, para luego moverse rápidamente a través de una cadena de cuentas bancarias, monederos electrónicos o intercambios de criptomonedas. Incluso si la víctima detecta la sustitución unas horas después, recuperar el dinero suele ser prácticamente imposible.

Escenarios típicos de ataques: desde el fraude al CEO hasta la sustitución de datos

El BEC puede materializarse en distintos escenarios. Estos son los principales:

  • Fraude al CEO — correo que supuestamente proviene del director general con la orden urgente de transferir dinero a una cuenta indicada (a menudo pidiendo confidencialidad y prohibiendo discutir la transferencia).
  • Compromiso de cuenta — acceso a una cuenta de correo corporativa real para enviar mensajes desde ella sin levantar sospechas.
  • Suplantación de abogado — falsificación de correos que aparentan provenir de un abogado interno o de un asesor externo con la exigencia de pagar según un contrato o una orden ejecutiva.
  • Factura falsa — modificación de los datos bancarios en una factura de pago que proviene de un proveedor real o falso.

A veces se combinan estos escenarios: por ejemplo, primero se compromete la cuenta del directivo y luego desde su dirección se envían órdenes de pago mientras se sustituye simultáneamente la cuenta para el abono.

Merecen especial atención los casos en que el ataque se desarrolla durante meses: el atacante no solo vigila la correspondencia, sino que se integra en procesos comerciales, esperando un contrato o una operación importante. En esos momentos la sustitución de datos resulta especialmente eficaz: el proveedor espera pago y el contable transfiere a la cuenta alterada sin sospechar la falsificación.

Psicología del ataque: ¿por qué creen los contables?

Todo ataque BEC exitoso es un triunfo de la ingeniería social. Los atacantes manipulan no solo la atención de la víctima, sino también sus emociones. Analicemos por qué contables experimentados, formados en seguridad, a veces cometen el error.

  • Efecto de autoridad. El correo parece provenir del director o de un alto ejecutivo; es psicológicamente difícil dudar de la autenticidad de dicha solicitud, sobre todo si está bien redactada y sin señales evidentes de falsificación.
  • Estrés y urgencia. Una petición de pago “inmediato”, “antes del final del día” o “o se pierde la operación” saca al empleado de su ritmo habitual y lo empuja a actuar de forma impulsiva.
  • Confianza en la correspondencia interna. Si el correo proviene de una dirección corporativa real, muchos lo consideran automáticamente legítimo.
  • Ilusión de rutina. En empresas grandes las transferencias y la relación con proveedores son actividades diarias, y distinguir un correo falso en medio de la rutina puede ser muy difícil.

A esto se suma el cansancio, el factor humano y la falta de tiempo para verificar detalles: condiciones ideales para el atacante. Los estafadores profesionales aprovechan esto al máximo.

Ejemplos de incidentes graves de BEC

Para ilustrar la magnitud del problema, citamos casos reales:

  • En 2020 la corporación internacional Toyota Boshoku perdió aproximadamente $37 millones tras un ataque BEC en el que los estafadores simularon correspondencia con proveedores y lograron cambiar los datos de pago.
  • Facebook y Google en distintos momentos sufrieron pérdidas por más de $100 millones en total por esquemas similares: los atacantes crearon empresas falsas y enviaron facturas que no despertaron sospechas en la contabilidad.
  • En Rusia y en la CEI las pérdidas de decenas de millones de rublos son casi habituales: basta recordar casos en que el contable de una gran planta transfirió dinero por orden supuestamente del director sin llamar para confirmar.

Muchos incidentes no se hacen públicos porque las empresas temen por su reputación. Pero incluso estos casos conocidos demuestran con claridad que el BEC no es una invención ni una amenaza exagerada.

Cómo detectar un ataque BEC: señales y banderas rojas

Existen varios indicios que permiten sospechar un intento de comprometer la correspondencia empresarial:

  • El correo proviene de una dirección que visualmente se parece a la corporativa, pero difiere en una o dos letras o en el dominio.
  • El texto contiene urgencia, pide no discutir el pago con colegas, presenta giros no habituales o errores en el lenguaje.
  • Se han modificado los datos bancarios habituales, incluso si el mensaje parece provenir de un proveedor conocido.
  • Hora de envío inusual, por ejemplo de noche o durante el fin de semana.
  • Solicitud de usar nuevos datos bancarios sin explicar la razón, a menudo con el pretexto de “cambio de banco” o “trabajos técnicos”.

La aparición de cualquiera de estos signos es motivo para verificar doblemente, llamar al número antiguo del socio o confirmar con la dirección.

Métodos de protección: cómo no ser víctima de un BEC

Eliminar por completo el riesgo BEC es imposible, pero una organización adecuada de los procesos y una higiene cibernética básica reducen mucho la probabilidad de éxito del atacante. Aquí van algunas medidas comprobadas:

  • Autenticación de dos factores para el acceso al correo corporativo y a los sistemas financieros.
  • Procedimientos claros de confirmación de pagos: cualquier cambio de datos debe confirmarse por teléfono o por un canal independiente.
  • Formación regular del personal — no meramente formal, sino con escenarios reales de BEC, análisis de incidentes recientes y ejercicios prácticos.
  • Verificación de autenticidad de dominios y monitorización de intentos de registro de nombres similares (por ejemplo, mediante servicios como Whois).
  • Limitación de privilegios de acceso a información corporativa y segmentación de redes internas.
  • Implementación de sistemas de filtrado y análisis del tráfico de correo capaces de detectar anomalías en los mensajes entrantes.

Además de las medidas técnicas, es clave fomentar una cultura interna de seguridad. No debe existir vergüenza ni temor a reportar un correo sospechoso; al contrario, incentive a los empleados a hacer preguntas y a verificar cualquier solicitud financiera, especialmente si sale de los cauces habituales.

Conclusión: el BEC es un riesgo inherente al negocio moderno

La compromisión de correos empresariales no es un mito ni un hecho aislado, sino una realidad cotidiana para cualquier empresa que maneje dinero y comunicaciones por correo electrónico. Los atacantes no reinventan la rueda; explotan hábilmente las debilidades humanas, las lagunas en los procedimientos y la confianza entre colegas. Hoy el BEC dejó de ser una rareza y es una amenaza masiva que diariamente sustrae millones de cuentas corporativas.

No se puede confiar en que un correo con petición de pago solo afecte a grandes corporaciones. Al contrario: apuntan tanto a pequeñas empresas como a startups y organizaciones sin ánimo de lucro. Sobrevive quien sabe reconocer la amenaza a tiempo e implantar una cultura de verificación en todos los niveles.

La mejor defensa no son solo filtros y bloqueadores, sino la atención, el escepticismo y una burocracia mínima en el proceso de verificación doble. Eso puede proteger a la empresa de sorpresas desagradables, incluso si el atacante se preparó meticulosamente y conoce los detalles de la vida corporativa.

Recuerde: recuperar el dinero es difícil y la reputación empresarial puede resultar dañada para siempre. Por ello no tema preguntar, verificar y exigir confirmaciones. En un ataque BEC, el coste del error puede ser demasiado alto.

Alt text
article-title

Deni Haipaziorov