El correo corporativo hace tiempo que forma parte del sistema financiero de la empresa. Mediante los mensajes, los empleados acuerdan facturas, modifican datos bancarios, envían contratos y confirman pagos. Un ataque BEC aprovecha la confianza en la correspondencia habitual. El estafador no siempre necesita un programa malicioso. A veces basta convencer a un empleado de que el mensaje lo envió un directivo, un socio o un compañero.
BEC significa Business Email Compromise, es decir, el compromiso del correo electrónico empresarial. El objetivo del ataque es robar dinero, documentos o acceso a procesos internos. Ese tipo de mensaje a menudo no contiene adjuntos ni enlaces sospechosos, por lo que parece una tarea de trabajo normal.
Cómo funciona un ataque BEC y a quién eligen los estafadores
La preparación comienza con la recopilación de información. Los delincuentes estudian el sitio web de la empresa, las redes sociales, las ofertas de empleo y documentos públicos. Les interesan los directivos, la estructura de los departamentos, los proveedores y el procedimiento de aprobación de pagos. Cuanto más preciso es el contexto reunido, más convincente resulta la petición.
Luego el estafador crea una dirección similar o accede a un buzón real. Un dominio falso puede diferir en una letra, un guion o la zona de dominio. El hackeo de una cuenta verdadera es más peligroso, porque el mensaje llega desde una cadena conocida y conserva la firma habitual.
Con más frecuencia atacan contabilidad, finanzas, compras y a empleados que trabajan con proveedores. Los departamentos de recursos humanos atraen a los delincuentes por las nóminas y los datos personales. Directivos, asistentes y abogados se vuelven objetivos valiosos, porque sus mensajes inspiran confianza y permiten ordenar acciones en nombre de la empresa.
Qué artimañas se usan en los ataques BEC
- Suplantación de un directivo. Se pide al empleado que pague urgentemente una factura, transfiera dinero o compre tarjetas de regalo.
- Suplantación de un proveedor. El estafador comunica un cambio de datos bancarios y envía una factura corregida.
- Intercepción de la correspondencia. El delincuente se incorpora a una cadena real de mensajes y modifica los datos antes del pago.
- Esquema de nómina. Desde la cuenta de un empleado se solicita cambiar la cuenta para el abono de la nómina.
- Robo de datos. Se convence al destinatario de enviar contratos, formularios fiscales o información sobre el personal.
Casi todos los esquemas se basan en la urgencia, la autoridad y la confidencialidad. El autor del mensaje exige completar la operación antes del final del día, pide no llamar al directivo o alude a un trato cerrado. La presión reduce el tiempo para verificar y hace que el empleado incumpla el procedimiento habitual.
Cómo reconocer un mensaje BEC
El principal signo de alarma está relacionado con un cambio inesperado en el proceso. El directivo pide ejecutar un pago sin la aprobación habitual, el proveedor cambia los datos solo por correo o un colega exige enviar documentos a una dirección nueva. Una firma conocida no hace que la petición sea segura si la acción sale del procedimiento aceptado.
Hay que comprobar la dirección del remitente carácter por carácter. Una letra extra, un símbolo parecido, una zona de dominio inusual o la discrepancia entre la dirección del remitente y la dirección para respuestas indican una suplantación. También despiertan sospechas un estilo atípico, la petición de no llamar y la exigencia de mantener la operación en secreto.
Un mensaje desde una dirección legítima también puede ser fraudulento. Una cuenta comprometida no se delata por un error en el dominio. Por eso, ante un cambio de datos, una transferencia importante, la concesión de accesos o el envío de datos personales, hay que confirmar por otro canal. Para la verificación se usa un número conocido de antemano, no el teléfono que aparece en el correo.
Cómo protegerse de los ataques BEC
La base de la defensa son las reglas financieras. La empresa establece aprobaciones dobles para pagos grandes, prohíbe cambiar datos bancarios por un solo correo y exige confirmar la petición a través de un canal independiente. La urgencia no debe anular la verificación, porque la falta de tiempo es la principal herramienta de presión.
El sistema de correo se protege con SPF, DKIM y DMARC, que reducen el riesgo de suplantación de dominio. En las cuentas se activa la autenticación multifactor, se limita el reenvío automático y se monitorizan accesos sospechosos. A los empleados se les dan solo los permisos necesarios y se bloquea inmediatamente el acceso de quienes dejan la empresa.
La formación del personal debe ajustarse a las responsabilidades reales. A contabilidad se le muestran los esquemas de cambio de datos, a recursos humanos se explica la suplantación de cuentas nómina y a los directivos se les recuerda que un mensaje corto solicitando pagar urgentemente una factura puede desencadenar un incidente grave.
Si el dinero ya se ha enviado, la empresa contacta de inmediato con el banco y solicita detener la transferencia. Luego los especialistas bloquean las cuentas comprometidas, cambian contraseñas, cierran sesiones activas, verifican las reglas de reenvío y conservan los registros. Una reacción rápida aumenta la probabilidad de recuperar los fondos.
Conclusión
El ataque BEC se disfraza de comunicación comercial normal y aprovecha el conocimiento de los procesos corporativos. El estafador cuenta con la confianza en un nombre conocido, la costumbre de ejecutar órdenes con rapidez y la reticencia a discutir con un directivo. Por eso, un filtro antispam no resuelve el problema sin reglas estrictas para el manejo de pagos y datos.
Una protección eficaz combina configuraciones técnicas, la confirmación independiente de las solicitudes financieras y la capacidad del personal para detenerse ante una operación inusual. Un cambio de datos, la petición de romper el procedimiento o la exigencia de secreto deben activar una verificación adicional. Unos minutos para una llamada pueden salvar dinero, datos y la reputación comercial de la empresa.
Preguntas frecuentes
¿Qué es un ataque BEC en términos sencillos?
Un ataque BEC es un fraude por medio de la correspondencia empresarial. El delincuente se hace pasar por un directivo, un colega o un socio y solicita transferir dinero, cambiar datos bancarios o enviar información valiosa.
¿En qué se diferencia BEC del phishing común?
El phishing suele enviarse masivamente, mientras que BEC se prepara para una empresa, un empleado y un proceso de trabajo concretos. En el mensaje puede no haber ningún enlace malicioso.
¿Se puede detectar un BEC sin programas especiales?
Sí. El destinatario debe comprobar la dirección, el contenido de la petición, la urgencia, el cambio de datos y el intento de eludir el procedimiento habitual.
¿Qué protección funciona mejor contra BEC?
La mejor protección es la combinación de aprobaciones dobles para pagos, la verificación por un canal independiente, la autenticación multifactor y DMARC.
¿Qué hacer después de transferir dinero a los estafadores?
La empresa debe contactar inmediatamente con el banco, bloquear las cuentas comprometidas, conservar la correspondencia y comenzar una investigación interna.