BEC - Compromiso de correo empresarial

Lectura de 2 min aprox.

El fraude del correo electrónico empresarial (BEC: Business Email Compromise) es un ciberdelito en el que el atacante se hace pasar por una persona de confianza, como un directivo de la empresa, un socio comercial o un abogado, y utiliza el correo electrónico para ordenar transferencias fraudulentas o la entrega de información confidencial. Como aprovecha la confianza humana en lugar de vulnerabilidades técnicas, puede considerarse una de las formas más sofisticadas de ingeniería social. Según el IC3 (Internet Crime Complaint Center) del FBI, las pérdidas acumuladas por BEC superaron los 50 000 millones de dólares estadounidenses entre 2013 y 2023, lo que lo convierte en el ciberdelito que causa el mayor daño económico.

Cinco patrones de ataque

1. Fraude del CEO

Haciéndose pasar por un directivo, el atacante ordena al personal de finanzas que realice una transferencia urgente. Una táctica típica es exigir silencio diciendo «es un asunto altamente confidencial, no se lo cuentes a nadie».

2. Fraude de facturas

El atacante falsifica la factura de un proveedor y sustituye la cuenta de pago por una propia. Como se mezcla con transacciones legítimas, suele descubrirse tarde.

3. Suplantación de abogado

Haciéndose pasar por el abogado de la empresa o un responsable jurídico, el atacante exige una transferencia urgente con el pretexto de una operación de fusión y adquisición o de un litigio.

4. Cuenta comprometida

El atacante secuestra realmente la cuenta de correo de un empleado y, desde esa cuenta, envía una factura falsa a un socio comercial.

5. Robo de datos

Haciéndose pasar por el departamento de Recursos Humanos, el atacante solicita los formularios W-2 (comprobantes de retención fiscal) o información personal de los empleados. El objetivo es la información, no el dinero.

Lo que estos patrones tienen en común es que el atacante investiga a fondo la organización objetivo con antelación. Recopila organigramas, información de proveedores y los calendarios de viaje de los directivos a partir de las redes sociales y los sitios web corporativos, y luego lanza el ataque en el momento más eficaz. Los métodos se solapan considerablemente con el spear phishing y el whaling, por lo que comprender de forma integral estos métodos de ataque es el primer paso para defenderse.

El flujo de un ataque BEC

Investigación y reconocimiento del objetivo

Envío de un correo de suplantación

Presión mediante urgencia y confidencialidad

Transferencia de dinero / entrega de información

Blanqueo de fondos a través de mulas de dinero

Convergencia con los deepfakes de IA

En los últimos años, el BEC ha entrado en una nueva fase gracias a su convergencia con la tecnología de IA. En 2024, en una empresa multinacional de Hong Kong se produjo un ataque BEC que utilizó una videoconferencia con deepfake, y se defraudaron aproximadamente 25,6 millones de dólares estadounidenses. El atacante usó IA para generar el vídeo y el audio de varios directivos, incluido el director financiero (CFO), y ordenó a un empleado de finanzas que realizara una transferencia durante una videoconferencia en tiempo real. En una era en la que no solo los correos, sino también las voces y los vídeos pueden falsificarse, los métodos de verificación tradicionales como «oí su voz, así que es esa persona» o «vi su cara, así que no hay error» ya no son fiables. La evolución de la tecnología de deepfake ha aumentado drásticamente la amenaza del BEC.

Prevención de la suplantación con DMARC

El pilar técnico de las contramedidas contra el BEC es DMARC (Domain-based Message Authentication, Reporting and Conformance). Basándose en los resultados de autenticación de SPF y DKIM, DMARC puede indicar al destinatario cómo tratar los correos que suplantan tu propio dominio (rechazar, poner en cuarentena o aceptar). Sin embargo, DMARC evita la suplantación de tu propio dominio; no puede hacer frente a los ataques desde dominios parecidos (por ejemplo, examp1e.com). Además, si un socio comercial no ha implementado DMARC, los correos de ataque que lo suplantan pasan sin problemas. Las medidas técnicas por sí solas son insuficientes y deben funcionar en conjunto con las medidas humanas.libros sobre seguridad del correo electrónico (Amazon) son recomendables para aprender a implementar DMARC.

La contramedida más eficaz - verificación telefónica antes de transferir

La contramedida más eficaz y de bajo coste contra el BEC es establecer dentro de la organización un proceso para verificar directamente con el solicitante en persona, utilizando un «número de teléfono previamente registrado» cada vez que se recibe una orden de transferencia. Lo importante aquí es llamar al número registrado en la lista de contactos interna de la empresa, y no al número de teléfono escrito en el correo, ya que los atacantes a veces incluyen su propio número en el mensaje. Además, también es eficaz introducir el control dual, que exige la aprobación de varias personas para las transferencias superiores a cierta cantidad. Consulta también la guía de contramedidas contra el phishing y la defensa contra la ingeniería social.

El BEC es una forma de phishing, pero a diferencia del tipo masivo e indiscriminado que apunta al público general, este ataca con precisión a individuos concretos, lo que hace que los importes del daño sean órdenes de magnitud mayores. Asegúrate de consultar también las últimas tendencias del phishing impulsado por IA y prepárate para las amenazas en evolución.

Términos relacionados

¿Te resultó útil este artículo?

← Volver al glosario