Guía rápida sobre el compromiso del correo electrónico empresarial (BEC)
Publicado el: 11 Feb 2019
Última modificación: 27 Nov 2025
Compromiso del correo electrónico empresarial (BEC): Prevención y consejos de seguridad
El Business Email Compromise (BEC), también conocido como fraude del CEO, es un sofisticado ciberataque en el que los estafadores se hacen pasar por altos ejecutivos para engañar a empleados, proveedores o clientes para que transfieran fondos o compartan información confidencial.
Al piratear las cuentas de correo electrónico oficiales, los atacantes vigilan las comunicaciones internas e identifican a los empleados autorizados a efectuar pagos. Normalmente, los delincuentes se hacen pasar por directores generales, directores financieros u otros altos ejecutivos, combinando técnicas avanzadas de ingeniería social para manipular a las víctimas.
Informes recientes destacan que los ataques BEC siguen aumentando. En 2024, el Centro de Denuncias de Delitos en Internet (IC3) recibió 21.442 denuncias de BEC, lo que supuso unas pérdidas ajustadas de aproximadamente 2.770 millones de dólares estadounidenses(IC3, 2024). En los últimos tres años (2022-2024), las pérdidas totales relacionadas con BEC comunicadas al IC3 alcanzaron casi los 8.500 millones de dólares estadounidenses.
Cómo funciona una estafa de compromiso del correo electrónico empresarial
Los ataques BEC son muy selectivos, a diferencia de las campañas masivas de phishing. Los delincuentes investigan meticulosamente a los ejecutivos de alto nivel utilizando sitios web de empresas, perfiles de redes sociales y fuentes en línea para elaborar correos electrónicos fraudulentos convincentes.
Utilizando técnicas selectivas como el spear phishing, los atacantes acceden a los sistemas corporativos, observan las transacciones financieras y envían correos electrónicos falsos solicitando transferencias urgentes de fondos. Estos correos electrónicos suelen eludir los filtros de spam, especialmente cuando se envían mientras los altos ejecutivos están ausentes, lo que hace que la estafa parezca legítima.
Tipos de estafas de compromiso del correo electrónico empresarial
- Fraude al CEO: Los ciberdelincuentes se hacen pasar por el director general o un alto ejecutivo para solicitar transferencias urgentes de fondos.
- Esquema de facturas falsas: Se dirige a empresas con proveedores en el extranjero solicitando un cambio en el destino del pago.
- Compromiso de cuentas: Los piratas informáticos interceptan las facturas y redirigen los pagos a cuentas falsas.
- Suplantación de abogado: Los estafadores solicitan transferencias de fondos confidenciales haciéndose pasar por asesores jurídicos.
- Robo de datos: Los atacantes solicitan información confidencial de la empresa a los correos electrónicos de los ejecutivos comprometidos.
Señales de advertencia de un ataque de compromiso del correo electrónico empresarial
- Solicitudes inesperadas de grandes transferencias de fondos a destinatarios desconocidos.
- Transferencias iniciadas al final del día o de la semana laboral.
- Correos electrónicos con lenguaje urgente, confidencial o reservado.
- Ligeros cambios en las direcciones de correo electrónico que imitan a contactos legítimos.
- Cuentas receptoras sin historial de grandes transferencias.
- Las cuentas de los destinatarios son personales y no corporativas.
Cómo prevenir los ataques empresariales que comprometen el correo electrónico
- Implemente una formación periódica de concienciación sobre seguridad para el personal.
- Impartir formación a ejecutivos de nivel C.
- Verifique todas las solicitudes urgentes y confidenciales de transferencias de fondos.
- Limitar los empleados autorizados a transferir fondos.
- Utilice la autenticación multifactor para todas las cuentas de correo electrónico.
- Exigir la verificación en dos pasos para los pagos.
- Cree procedimientos formales para aprobar las transacciones financieras.
- Envíe correos electrónicos a través de servidores encriptados siempre que sea posible.
- Evite publicar información sensible en público.
- Utilice banners de correo electrónico externos para los mensajes procedentes de fuera de la organización.
Los empleados son a menudo la primera línea de defensa contra los ciberataques. MetaLearning Fusion proporciona eLearning de última generación para Ciberseguridad y Privacidad, permitiendo a las organizaciones crear cursos personalizados para el personal. Póngase en contacto con nosotros hoy mismo para obtener más información.
Más información y protección para su organización
MetaCompliance ofrece soluciones integrales de protección contra BEC y otras ciberamenazas:
- Plataforma de Human Risk Management
- Security Awareness automatizada
- Simulaciones avanzadas de phishing
- Risk Intelligence & Analytics
- Compliance Management
Para un asesoramiento personalizado y para discutir cómo MetaCompliance puede asegurar su organización, póngase en contacto con nosotros hoy mismo.
Preguntas frecuentes sobre el compromiso del correo electrónico empresarial (BEC)
¿Qué es BEC (Business Email Compromise)?
El BEC es un tipo de ciberdelito en el que los atacantes se hacen pasar por un ejecutivo de la empresa, un proveedor o un socio de confianza a través del correo electrónico para engañar a los empleados para que transfieran dinero, compartan información confidencial o realicen acciones no autorizadas.
¿Cómo funcionan los ataques BEC?
Los ataques BEC engañan a los empleados para que envíen dinero o información confidencial haciéndose pasar por un ejecutivo o socio de confianza.
¿Cómo puedo identificar un correo electrónico BEC?
Busque solicitudes urgentes, destinatarios desconocidos, pequeños cambios de dirección de correo electrónico o lenguaje reservado.
¿Qué es el fraude de los directores generales?
El fraude del director general es una estafa BEC en la que los estafadores se hacen pasar por el director general para solicitar transferencias de fondos fraudulentas.