Compromiso del correo electrónico empresarial (BEC): cómo los estafadores atacan a las empresas
El compromiso del correo electrónico empresarial (BEC) es uno de los tipos de fraude más costosos, causando pérdidas de miles de millones de dólares al año. Los estafadores se hacen pasar por ejecutivos, manipulan a los empleados y explotan las relaciones de la empresa para robar dinero y datos. Comprender estas tácticas ayuda a su organización a defenderse de ellas.
¿Qué es el compromiso del correo electrónico empresarial?
El compromiso del correo electrónico empresarial es un ataque de fraude sofisticado en el que los delincuentes envían correos electrónicos que aparentan provenir de ejecutivos de la empresa, proveedores de confianza o socios comerciales. Estos correos solicitan transferencias urgentes de dinero, datos confidenciales o cambios de credenciales. Las solicitudes parecen legítimas y provienen del "interior" de la empresa, lo que hace que los empleados sospechen menos.
En qué se diferencia el BEC del phishing
Los ataques de phishing estándar utilizan correos electrónicos masivos con señales de alerta evidentes (mala gramática, saludos genéricos). Los ataques BEC son altamente dirigidos y sofisticados. Los estafadores investigan la estructura de la empresa, comprenden las relaciones comerciales y elaboran correos electrónicos que imitan a la perfección el estilo de comunicación de un ejecutivo.
Tipos comunes de ataques BEC
Fraude del CEO (whaling)
Un correo electrónico aparenta provenir del CEO o de un ejecutivo solicitando una transferencia bancaria urgente. El correo apela a la urgencia: "Complete esto antes del cierre de la jornada", "Necesario para una adquisición" o "Confidencial: no lo comente con otros". Los empleados cumplen rápidamente sin verificar a través de los canales normales.
Manipulación de facturas
Los estafadores interceptan o suplantan a un proveedor y envían facturas fraudulentas solicitando el pago. La factura parece legítima, incluye los logotipos de la empresa y coincide con el formato del proveedor. Los departamentos de contabilidad pagan las facturas sin verificación adicional.
Suplantación de proveedores
Los estafadores envían correos electrónicos que aparentan provenir de un proveedor de confianza solicitando el pago de facturas. Crean direcciones de correo casi idénticas a las del proveedor real (vemdor.com en lugar de vendor.com). Los empleados pagan facturas que nunca existieron.
Phishing de formularios W-2
Un correo electrónico aparenta provenir de Recursos Humanos o del CEO solicitando información de los formularios W-2 (números de Seguro Social, información salarial) de todos los empleados. Los estafadores utilizan esta información para presentar declaraciones de impuestos fraudulentas o cometer robo de identidad.
Fraude de transferencia bancaria
Los correos electrónicos solicitan transferencias bancarias urgentes a cuentas nuevas o bancos extranjeros. La urgencia y la autoridad (aparentando provenir de un ejecutivo) presionan a los empleados para que omitan los procedimientos de verificación.
Recolección de credenciales
Un correo electrónico aparenta provenir de TI o de un proveedor de servicios solicitando credenciales de cuenta para "actualizaciones del sistema" o "verificación de seguridad". Una vez obtenidas, los estafadores acceden a los sistemas de la empresa, roban datos o cometen más fraudes.
Apropiación de cuentas
Los estafadores comprometen la cuenta de correo de un empleado o ejecutivo mediante phishing o ataques de contraseñas. Una vez dentro, envían correos fraudulentos a colegas, proveedores y socios que parecen completamente legítimos.
Cómo investigan los estafadores su organización
Los atacantes de BEC son minuciosos. Investigan su empresa exhaustivamente antes de atacar:
- • Revisan su sitio web en busca de la estructura de la empresa, ejecutivos y departamentos
- • Consultan LinkedIn para obtener información de los empleados y la jerarquía organizativa
- • Monitorean las redes sociales en busca de anuncios de ejecutivos y noticias de la empresa
- • Investigan a sus proveedores y socios comerciales
- • Revisan documentos financieros públicos y presentaciones ante la SEC
- • Monitorean los comunicados de prensa en busca de fusiones, adquisiciones y asociaciones
- • Consultan directorios de correo electrónico y bases de datos de contraseñas filtradas
- • Estudian los patrones de comunicación de los ejecutivos a partir de correos filtrados en línea
Señales de alerta en correos electrónicos BEC
Anomalías en la dirección del remitente
- Correo electrónico de un dominio externo en lugar del correo de la empresa
- Ortografía similar pero ligeramente diferente (ceo-name@company-name.com en lugar de @company.com)
- Direcciones de correo gratuitas (Gmail, Yahoo) utilizadas por "ejecutivos"
- Correos falsificados que aparentan provenir de contactos conocidos
Señales de alerta en el contenido del mensaje
- Urgencia o presión de tiempo inusual
- Solicitudes de secreto: "No mencione esto", "Que quede entre nosotros"
- Solicitudes inusuales en transacciones normalmente rutinarias
- Solicitudes de transferencia bancaria a cuentas bancarias desconocidas
- Solicitudes de información confidencial (contraseñas, credenciales, datos de formularios W-2)
- Tono del ejecutivo diferente de su estilo habitual
- Mala gramática u ortografía (aunque los ataques BEC sofisticados evitan esto)
Señales de alerta en los procesos
- La solicitud omite los procesos de aprobación normales
- Solicitudes para omitir los procedimientos de verificación de proveedores
- Instrucciones para procesar el pago de inmediato sin revisión
- Solicitud de usar métodos de pago inusuales
- Información de cuenta nueva para un proveedor conocido
Políticas de prevención y mejores prácticas
Implemente la autenticación multifactor (MFA)
Exija MFA para todas las cuentas de correo electrónico, especialmente para ejecutivos y personal de finanzas. Esto evita que los atacantes accedan a las cuentas incluso con contraseñas robadas.
Establezca procedimientos de verificación
Para cualquier solicitud financiera, verifique siempre devolviendo la llamada al solicitante usando un número de teléfono conocido (no el del correo electrónico). Nunca utilice la información de contacto del propio correo. Para los pagos a proveedores, verifique la nueva información de cuenta a través de un canal de comunicación distinto.
Separe las funciones financieras
Nunca permita que una sola persona apruebe y procese los pagos. Exija al menos dos personas: una para aprobar y otra para ejecutar. Esto evita que un solo empleado comprometido cause daños.
Use protocolos de autenticación de correo electrónico
Implemente SPF (Sender Policy Framework), DKIM (DomainKeys Identified Mail) y DMARC (Domain-based Message Authentication) para evitar la falsificación de correos electrónicos. Estos dificultan que los atacantes suplanten a su empresa.
Capacite a los empleados sobre las amenazas BEC
La capacitación de seguridad regular ayuda a los empleados a reconocer los ataques BEC. Eduque al personal sobre los riesgos específicos que enfrentan y los procedimientos de verificación que utiliza su empresa.
Cree un sistema de denuncia de fraudes
Establezca un proceso sencillo para que los empleados denuncien sospechas de fraude. Haga que la denuncia sea segura y anónima para que los empleados se sientan cómodos alertando a la dirección sobre las amenazas.
Monitoree el correo electrónico en busca de señales de alerta
Use software de filtrado de correo electrónico para marcar correos sospechosos (direcciones falsificadas, remitentes externos que solicitan pagos, etc.). Esto detecta muchos ataques automáticamente.
Implemente restricciones de cuenta
Limite lo que pueden hacer las cuentas comprometidas. Por ejemplo, restrinja temporalmente las reglas de reenvío de correo, deshabilite las respuestas automáticas y marque la actividad inusual de la cuenta.
Qué hacer si sospecha de un ataque BEC
Deténgase y verifique
Si recibe un correo electrónico sospechoso que solicita un pago, credenciales o información confidencial, deténgase de inmediato. Llame a la persona a un número que sepa que es correcto (del directorio de la empresa o del sitio web, no del correo) y verifique la solicitud.
Informe a TI y a seguridad
Alerte de inmediato a su departamento de TI y a su equipo de seguridad. Si una cuenta ha sido comprometida, necesitan asegurarla. Si se realizaron transferencias bancarias, deben contactar al banco de inmediato para intentar recuperar los fondos.
Restablezca las cuentas comprometidas
Si la cuenta de un empleado ha sido comprometida, restablezca su contraseña de inmediato y oblíguelo a cerrar sesión en todas las sesiones. Exíjale que cambie las contraseñas de otras cuentas que compartan la misma contraseña.
Contacte a su banco de inmediato
Si se han transferido fondos, contacte a su banco o institución financiera de inmediato. Muchas transferencias fraudulentas pueden detenerse o revertirse si se informan con suficiente rapidez.
Informe a las autoridades
Informe los ataques BEC al Centro de Denuncias de Delitos en Internet (IC3) del FBI en ic3.gov. Proporcione detalles sobre el ataque, los fondos perdidos y las direcciones de correo/cuentas utilizadas.
Conclusión clave
El compromiso del correo electrónico empresarial es sofisticado y dirigido. Su mejor defensa es una combinación de controles técnicos (MFA, autenticación de correo, filtrado) y conciencia humana (procedimientos de verificación, capacitación de empleados). Cuando lleguen por correo solicitudes inusuales de datos financieros o confidenciales, tómese su tiempo y verifique a través de un canal de comunicación alternativo. Los pocos minutos dedicados a verificar pueden ahorrarle a su organización cientos de miles de dólares.
¿Qué sigue?
Denuncie un ataque BEC
Denuncie sospechas de ataques BEC para ayudar a las autoridades.
Buscar en la base de datos de estafas
Compruebe si una dirección de correo electrónico o una empresa se ha utilizado en ataques BEC.
Para obtener orientación detallada sobre la seguridad organizativa, consulte con un profesional de ciberseguridad o comuníquese con la División Cibernética del FBI.
