Volver al blog
Business Email Compromise: El fraude que vacía cuentas sin hackear nada técnico
Amenazas

Business Email Compromise: El fraude que vacía cuentas sin hackear nada técnico

El Business Email Compromise no explota vulnerabilidades de software. Explota la confianza. Con un correo bien redactado y el nombre del gerente adecuado, los atacantes logran transferencias bancarias de miles de dólares sin tocar una sola línea de código.

Equipo Cibershield15 May, 202611 min de lectura

El jefe que pide una transferencia urgente desde Cancún

Son las 4:15 de la tarde del viernes. Recibís un correo de tu gerente general. Está en una conferencia en Cancún, hay poca señal, y necesita que procesés una transferencia urgente a un proveedor nuevo antes del cierre bancario. Son $18,500. Te pide discreción porque es una negociación sensible que no quiere que se filtre internamente. El correo tiene el nombre, el cargo y la firma habitual del gerente. Te parece raro, pero es tu jefe. No querés quedar mal ni retrasar un negocio importante. Procesás la transferencia.

Cuarenta y ocho horas después, cuando el gerente regresa de su viaje, descubrís que él nunca envió ese correo.

Este escenario no es ficción. Es el guión básico del Business Email Compromise (BEC), el fraude de correo electrónico que el FBI clasifica como una de las ciberamenazas más costosas del mundo. Según el Internet Crime Complaint Center (IC3) del FBI, en 2023 el BEC generó pérdidas globales superiores a $2.9 mil millones de dólares, con un promedio de $125,000 por incidente. Y esos son solo los casos reportados.

Lo que hace al BEC diferente de otras amenazas es su simplicidad desconcertante: no necesita malware, no explota vulnerabilidades técnicas, y en muchos casos ni siquiera requiere comprometer una cuenta de correo real. Solo necesita un correo electrónico bien construido, el nombre de la persona correcta, y una víctima bajo presión de tiempo.

Las cinco variantes del BEC

El FBI identifica cinco esquemas principales, todos variaciones del mismo principio de suplantación de identidad:

1. CEO Fraud (Fraude del CEO)

El atacante suplanta al CEO o al ejecutivo de mayor rango de la empresa y le pide a alguien del área financiera que realice una transferencia urgente y confidencial. Este es el escenario del ejemplo de apertura.

2. Compromiso de cuenta de proveedor

El atacante hackea o suplanta la cuenta de correo de un proveedor legítimo con quien la empresa tiene una relación comercial establecida. Envía facturas falsas con datos bancarios modificados, pidiendo que los pagos habituales se redirijan a una cuenta nueva.

3. Suplantación de empleado de RRHH

El atacante se hace pasar por alguien de Recursos Humanos y contacta al departamento de nómina para cambiar la cuenta bancaria donde se deposita el salario de uno o varios empleados. En este caso, la víctima no es la empresa sino el empleado.

4. Fraude de abogado o asesor legal

El atacante suplanta a un abogado o consultor externo que supuestamente maneja un asunto urgente y confidencial (una adquisición, una demanda, una negociación) y solicita una transferencia de fondos que, por discreción, no puede ser verificada internamente.

5. Robo de datos

En lugar de dinero, el objetivo es información sensible: W-2 de empleados, listas de clientes, información de nómina, datos de tarjetas. Luego esa información se usa en ataques secundarios o se vende.

¿Por qué el BEC no es phishing técnico?

Muchas personas confunden BEC con phishing. Hay similitudes, pero diferencias importantes:

Phishing técnico:

Masivo y automatizado: millones de correos idénticos.
El objetivo es que la víctima haga clic en un enlace o descargue un archivo.
El payload es malware o una página de robo de credenciales.
Suele detectarse con filtros de spam y soluciones antivirus.

Business Email Compromise:

Altamente dirigido y personalizado: el atacante investigó previamente a la empresa, sus ejecutivos, sus proveedores.
El objetivo es que la víctima tome una acción voluntaria (transferir dinero, enviar documentos).
No hay malware ni enlace malicioso, solo texto. Por eso los filtros técnicos tradicionales lo dejan pasar.
Requiere tiempo de preparación pero los retornos son enormes.

En términos de spear phishing, el BEC es el escalón más sofisticado: no busca comprometer un sistema, busca comprometer una decisión humana.

Cómo los atacantes preparan un ataque BEC

Un ataque BEC típico se prepara durante semanas:

Fase 1 - Reconocimiento (2-4 semanas):

Revisan LinkedIn para identificar a ejecutivos, personal de finanzas y proveedores clave.
Leen el sitio web corporativo para conocer la estructura jerárquica.
Analizan comunicados de prensa, noticias y redes sociales para saber cuándo los ejecutivos viajan o están en eventos.
Buscan en repositorios públicos patrones de correo corporativo (nombre.apellido@empresa.com).

Fase 2 - Preparación del engaño:

Registran un dominio muy similar al corporativo: si la empresa es "distribuidora-guate.com", registran "distribuidora-guate.net" o "distribuïdora-guate.com" (con una letra diferente).
Alternativamente, si logran acceso a una cuenta de correo real (por phishing previo), envían el ataque desde la cuenta legítima comprometida.
Redactan el correo imitando el estilo y tono del ejecutivo que suplantan.

Fase 3 - Ejecución:

Envían el correo en el momento óptimo: viernes por la tarde, antes de un feriado, cuando el ejecutivo real está de viaje (dato que obtuvieron de LinkedIn o redes sociales).
Crean urgencia y piden discreción para evitar que la víctima consulte con otros.
Proporcionan datos bancarios de cuentas intermediarias (mule accounts) que luego mueven el dinero rápidamente a otras jurisdicciones.

El contexto centroamericano: por qué somos un blanco atractivo

Centroamérica presenta condiciones que hacen atractivo el BEC:

Alta informalidad en comunicaciones empresariales:: es culturalmente normal que los jefes pidan cosas urgentes sin seguir procesos formales. La empleada que recibe el correo del "CEO" no cuestiona el canal porque así funciona la empresa.
Empresas familiares con jerarquías muy marcadas:: en muchas PYMEs, contradecir o cuestionar al dueño es culturalmente difícil, incluso si la solicitud parece extraña.
Equipos de finanzas pequeños con mucho poder individual:: una sola persona puede autorizar y procesar una transferencia sin segunda validación.
Relaciones con proveedores basadas en confianza personal:: cuando el correo del proveedor llega con el estilo habitual, nadie verifica los datos bancarios nuevos.
Empresas que importan o exportan:: las transferencias internacionales son comunes y normales, lo que hace menos sospechosa una solicitud de ese tipo.

Empresas comercializadoras, importadoras, constructoras y empresas de servicios profesionales son especialmente vulnerables por sus relaciones constantes con proveedores y sus flujos de pago regulares.

La defensa técnica: SPF, DKIM y DMARC explicados

Aquí sí entra la tecnología. Tres protocolos del correo electrónico que, correctamente configurados, dificultan enormemente la suplantación de tu dominio:

SPF (Sender Policy Framework)

Es un registro DNS que le dice al mundo qué servidores están autorizados a enviar correo en nombre de tu dominio. Si alguien intenta enviar un correo diciendo ser "gerente@tuempresa.com" desde un servidor no autorizado, los sistemas receptores pueden detectarlo.

¿Qué cubre? Evita que terceros falsifiquen el dominio en el campo "From" del sobre del correo.

¿Qué no cubre? La suplantación del nombre visible (Display Name) que es lo que el usuario ve, no el dominio técnico.

DKIM (DomainKeys Identified Mail)

Agrega una firma criptográfica a cada correo enviado desde tu dominio. El servidor receptor puede verificar que el correo no fue modificado en tránsito y que realmente proviene de un servidor autorizado.

¿Qué cubre? Integridad del mensaje y autenticidad del servidor de envío.

¿Qué no cubre? Tampoco protege contra el uso de dominios similares al tuyo (typosquatting).

DMARC (Domain-based Message Authentication, Reporting and Conformance)

Es la capa que une SPF y DKIM y añade una política: qué debe hacer el servidor receptor si un correo falla las verificaciones. Las opciones son:

none: monitorear pero no hacer nada (modo diagnóstico).
quarantine: enviar el correo a spam.
reject: rechazar el correo completamente.

DMARC también envía reportes periódicos que muestran desde qué servidores se envían correos en nombre de tu dominio, lo que te permite detectar si alguien está suplantando tu identidad.

Dato importante: Según un análisis de Proofpoint de 2024, el 65% de las organizaciones en Latinoamérica no tienen una política DMARC activa o la tienen en modo "none" (sin enforcement). Esto significa que cualquier persona puede enviar correos que parezcan venir de su dominio sin ningún obstáculo técnico.

La defensa humana: el protocolo anti-BEC

La tecnología sola no es suficiente. El BEC explota personas, no sistemas. Estas son las medidas de proceso que más impacto tienen:

Regla de verificación dual para transferencias

Cualquier transferencia bancaria por encima de un umbral definido (puede ser $500, $1,000 o $5,000 según el tamaño de la empresa) debe verificarse por un canal secundario diferente al correo.

Si recibís una solicitud de transferencia por correo, llamá al solicitante por teléfono o WhatsApp (usando el número que ya conocés, no el que aparece en el correo) y verificá verbalmente. Esto es especialmente importante cuando:

Es una cuenta bancaria nueva o diferente a la habitual.
El correo pide urgencia y discreción.
El ejecutivo supuestamente está viajando o sin buena señal.

Política de "no excepción al proceso"

Define por escrito que ningún ejecutivo, incluyendo el CEO o el dueño, puede saltarse el proceso de autorización de pagos, sin importar cuán urgente sea la solicitud. Si el proceso requiere dos firmas, son dos firmas, siempre.

Esto parece obvio pero en la práctica es difícil culturalmente. La solución es que el propio CEO lo comunique a su equipo: "Nunca les voy a pedir que se salten el proceso. Si alguien dice que soy yo y pide saltárselo, llamenme directamente."

Alerta de dominio similar

Herramientas como dnstwist o servicios de monitoreo de marca alertan cuando alguien registra un dominio similar al tuyo. Si detectás que alguien registró "tuempresa-cr.com" o "tuempreza.com", podés actuar antes de que lancen un ataque.

Capacitación específica para el área financiera

El departamento de finanzas y cuentas por pagar es el objetivo principal del BEC. Deben conocer el esquema, identificar las señales de alarma y sentirse empoderados para cuestionar una solicitud sospechosa sin miedo a represalias.

Señales de alerta en un correo BEC

Estas son las banderas rojas más comunes:

Urgencia artificial:: "necesito esto hoy antes del cierre", "es crítico que lo procesés ahora".
Solicitud de discreción:: "no mencionés esto a nadie internamente", "es confidencial".
Canal inusual:: la solicitud llega solo por correo cuando normalmente esa persona llamaría o usaría otro canal.
Cambio de datos bancarios:: el correo notifica que el proveedor X cambió su cuenta. Siempre llamar al proveedor para confirmar.
Dirección de correo ligeramente diferente:: gerente@distribuidoraguate.net en lugar de gerente@distribuidoraguate.com.
Respuesta a un hilo antiguo:: los atacantes a veces insertan su correo malicioso en medio de una conversación legítima para darle más credibilidad.
Solicitud de que las respuestas vayan a una dirección diferente:: el "Reply-To" apunta a una cuenta controlada por el atacante.

Qué hacer si ya ocurrió

Si tu empresa fue víctima de BEC, el tiempo es crítico:

1.Contactá tu banco inmediatamente. Las transferencias bancarias pueden ser detenidas o recuperadas si se reportan en las primeras horas. Pasadas 24-48 horas, la probabilidad de recuperación cae drásticamente porque los fondos ya se movieron a múltiples cuentas.
2.Presentá denuncia ante el OIJ (Costa Rica), la PNC (Guatemala), la DNIC (Honduras) u organismo equivalente. El FBI también acepta denuncias internacionales a través del IC3 (ic3.gov) y tiene un equipo especializado en recuperación de fondos BEC.
3.No borres nada. Los correos, registros de transferencia y cualquier comunicación son evidencia.
4.Auditá cómo ocurrió. ¿El correo llegó desde un dominio falso? ¿O fue desde una cuenta comprometida? La respuesta determina qué corregir.
5.Notificá a tu asegurador si tenés cobertura de ciberseguridad o crimen corporativo.

El BEC no discrimina por tamaño

Una creencia común es que estas estafas solo afectan a grandes corporaciones. Falso. Los atacantes apuntan a PYMEs precisamente porque tienen controles menos estrictos, equipos de finanzas pequeños con menos supervisión, y ejecutivos que gestionan múltiples tareas y a veces aprueban pagos desde el teléfono.

Una ferretería mayorista en El Salvador con 25 empleados puede ser tan atractiva para un ataque BEC como una empresa multinacional, especialmente si importa materiales y hace transferencias internacionales con regularidad.

La diferencia es que la PYME probablemente no sobrevive una pérdida de $50,000 de la misma manera que lo haría una gran empresa.

El correo puede ser legítimo. La transferencia no tiene que serlo todavía.

La postura correcta ante cualquier solicitud de transferencia bancaria inusual es simple: verificar antes de actuar. Un proveedor legítimo entenderá que necesitás confirmar un cambio de datos bancarios por teléfono. Un ejecutivo real entenderá que seguís el proceso, porque fue él quien lo estableció.

Si alguien se molesta porque seguís el protocolo de verificación, eso en sí mismo es una señal de alerta.

En CiberShield implementamos controles técnicos anti-BEC: configuración de SPF, DKIM y DMARC, políticas de correo, capacitación especializada para equipos financieros y simulaciones de BEC para medir la resistencia de tu organización. Contactanos y evaluamos sin costo el estado de autenticación de tu dominio.

¿Necesita ayuda con su ciberseguridad?

Nuestro equipo está listo para ayudarle a proteger su empresa.

Artículos relacionados

Amenazas

Dark Web Monitoring: Lo que los ciberdelincuentes ya saben sobre tu empresa

En foros oscuros de internet se venden credenciales corporativas, listas de clientes y datos de empleados por unos pocos dólares. La pregunta no es si los datos de tu empresa están ahí afuera, sino cuándo te vas a enterar y qué vas a hacer al respecto.

Mejores Prácticas

VPN y Acceso Remoto Seguro: Cuando tu empresa trabaja desde el sofá

El trabajo remoto e híbrido llegó para quedarse, pero con él llegaron riesgos que muchas empresas nunca consideraron. Entendé la diferencia entre una VPN tradicional, ZTNA y SD-WAN, y qué necesita tu empresa para que el trabajo desde cualquier lugar no se convierta en una puerta trasera.