Blog de Spaceship

¿Qué es el compromiso del correo electrónico empresarial (BEC)?

Actualizado el
6 min de lectura

Cada año, los delincuentes se llevan miles de millones. No irrumpiendo en elegantes galerías de arte o bóvedas bancarias, sino enviando el correo electrónico correcto a la persona correcta en el momento correcto. Así es como lo hacen.

En este artículo, aprenderás:

  • Qué es realmente el compromiso de correo electrónico empresarial

  • Cómo se llevan a cabo estos ataques, paso a paso

  • Los tipos más comunes de ataques BEC

  • Un ejemplo real de un ataque de 37 millones de dólares

  • Cómo proteger tu empresa antes de que se convierta en un objetivo

¿Qué es el compromiso de correo electrónico empresarial en ciberseguridad?

El compromiso de correo electrónico empresarial es un ciberataque en el que los delincuentes se hacen pasar por alguien en quien confías para engañarte y hacer que envíes dinero o entregues datos sensibles. Lo que lo hace peligroso es la paciencia y la planificación. Los atacantes pasan semanas aprendiendo cómo se comunica una empresa, quién tiene la autoridad y cuándo atacar. Para cuando llega el correo, parece un correo normal de alguien que conoces.

¿Cómo funciona un ataque de compromiso de correo electrónico empresarial?

Hay un manual probado y confiable para estos ataques, y los estafadores lo siguen siempre.

Paso 1 – Encontrar el objetivo

Todo el propósito detrás de un ataque de compromiso de correo electrónico empresarial es que debe ser convincente. Por suerte para los atacantes, Internet es una mina de oro de información sobre posibles objetivos. Un vistazo rápido a tu perfil de redes sociales puede revelar tu trabajo, tus amigos cercanos e incluso tu tono de voz. Si juntas eso con comunicados de prensa sobre los próximos movimientos de tu empresa y biografías de sitios web corporativos, empieza a parecer creíble.

Los atacantes pueden recopilar toda esa información y, en cuestión de segundos, crear un correo electrónico que se vea y suene como el auténtico.

Paso 2 – Entrar en la bandeja de entrada

Para que el contenido del correo electrónico parezca real, los atacantes necesitan envolverlo en un paquete atractivo y creíble. Si la dirección de correo electrónico no parece provenir de una fuente confiable, toda la estafa se vendrá abajo.

Los atacantes podrían falsificar el dominio registrando un nombre como acme-corp.com en lugar de acmecorp.com. O, si son lo bastante hábiles, hackear la bandeja de entrada real, haciendo que sea casi imposible distinguirlo de un mensaje genuino.

Después de todo, si parece un pato y hace cuac como un pato, la mayoría pensará que es un pato.

Paso 3 – Generar confianza

En estos ataques, la paciencia es la clave. Los atacantes pueden esconderse en una bandeja de entrada hackeada durante semanas, leyendo hilos de correo y aprendiendo estilos de comunicación. Cuando el correo finalmente llega, se mezcla con los correos anteriores, imitando el tono y el flujo de la conversación.

Paso 4 – Hacer la solicitud

Una vez que los atacantes te conocen a la perfección —tu tono de voz, los nombres y cargos de tus colegas, y lo que está pasando en tu empresa— y han logrado meterse en tu correo electrónico, envían la solicitud.

Por lo general, es algo que no se puede deshacer fácilmente. Puede implicar enviar dinero a una cuenta bancaria o compartir información privada. La clave es que debe ser irreversible. 

Una vez que el objetivo se da cuenta de que algo anda mal, el atacante necesita que el daño ya esté hecho. Si son especialmente astutos, incluso podrían enviarlo durante una temporada festiva, cuando todos bajan la guardia y hay una mayor probabilidad de éxito.

Paso 5 – Desaparecer sin dejar rastro

Después de que se envían los fondos, se mueven rápidamente a través de una serie de cuentas intermediarias. Estas suelen estar en el extranjero, lo que hace que el rastro del dinero sea muy difícil de seguir incluso para las autoridades.

Ejemplo de compromiso de correo electrónico empresarial

El compromiso de correo electrónico empresarial es el jefe final de los ataques digitales. Por lo general, involucra grandes empresas y sumas de dinero exorbitantes. 

En 2019, uno de los principales proveedores de Toyota perdió decenas de millones en una sola transferencia. El atacante irrumpió en el sistema de correo electrónico de Toyota Boshoku. Leyó mensajes y aprendió cómo se comunicaba la empresa. Cuando surgió en la conversación una gran transferencia de dinero, le pidió a alguien de la empresa con autoridad para mover dinero que actualizara los datos de la cuenta bancaria para la transferencia. Parecía legítimo, y el dinero fue enviado.

Así de fácil, 37 millones de dólares, desaparecidos.

Tipos de ataques de compromiso de correo electrónico empresarial

No todos los ejemplos de compromiso de correo electrónico empresarial se ven iguales. Por supuesto, el objetivo siempre es engañar a las personas para que entreguen la mayor cantidad de dinero posible, pero el enfoque puede ser muy diferente.

Fraude del CEO (suplantación de ejecutivos)

Esta es la forma más reconocida de BEC. Un atacante suplanta a un alto ejecutivo, normalmente un CEO o CFO, y presiona a alguien de finanzas para mover dinero. Funciona por la dinámica de poder. Cuando el jefe quiere algo, la mayoría de las personas no se detienen a preguntar por qué. Si además se combina con una historia de fondo creíble, es suficiente para lograr que alguien actúe sin pensarlo dos veces.

Compromiso del correo electrónico de proveedores

Los atacantes apuntan a relaciones fuera de la empresa en lugar de fingir ser alguien dentro de ella. Se enfocan en proveedores y vendedores de confianza, se infiltran en conversaciones de correo electrónico existentes y sustituyen los datos de pago reales por los suyos. Desde el lado de la víctima, parece una actualización rutinaria de factura de un proveedor con el que ha trabajado durante años.

Toma de control de cuentas

Esta es la variante más peligrosa porque no implica falsificación. El atacante está usando la cuenta real. El correo proviene de una dirección real y usa el tono correcto. El mensaje parece completamente normal, porque técnicamente lo es.

Desvío de nómina

Este no apunta al dinero de la empresa. En cambio, apunta a los empleados. Los atacantes se hacen pasar por RR. HH. o por un empleado y solicitan una actualización de nómina, redirigiendo discretamente un salario a una cuenta que controlan. 

La víctima no se entera hasta el día de pago y, como las cantidades son menores y la solicitud parece normal, rara vez activa una alerta de fraude. Es una versión más lenta del BEC, pero si afecta a suficientes empleados, se acumula rápido.

BEC vs Phishing – ¿Cuál es la diferencia?

Los correos electrónicos de phishing existen desde hace mucho tiempo, y la mayoría de las personas saben cómo se ve uno. Es el que te dice que ganaste un premio o que un príncipe nigeriano necesita tu ayuda. Se envían en masa y dependen del gran volumen para tomar a alguien desprevenido.

Mientras que el phishing es una red, el BEC es un francotirador. Los atacantes pasan semanas investigando a una empresa, a veces a una persona específica. Para cuando llega el correo, parece un mensaje de un martes por la mañana de alguien que conoces.

El phishing normalmente busca tus credenciales de inicio de sesión, pero el BEC se salta ese paso por completo y va directo por el dinero o los datos.

Cómo detectar un ataque de compromiso de correo electrónico empresarial

Los ataques BEC están diseñados para parecer normales. Pero si sabes qué buscar, las señales están ahí.

  • La prisa— Un correo electrónico que te presiona para mover dinero rápido, sin darte espacio para detenerte y verificar.

  • El cambio repentino — Un proveedor o colega ha actualizado de repente su información de pago de la nada.

  • La dirección casi correcta — El correo electrónico del remitente está a solo un carácter del real.

  • El tono que simplemente no encaja— Algo se siente raro: demasiado formal, demasiado casual o extrañamente reservado.

  • La solicitud que surge de la nada — Te piden hacer algo que normalmente pasaría por un canal diferente.

Cómo prevenir un ataque de compromiso de correo electrónico empresarial

Saber cómo funcionan estos ataques es la mitad de la batalla. La otra mitad es asegurarte de que tu empresa no sea un blanco fácil.

Levanta el teléfono

Si un correo electrónico te pide transferir dinero o actualizar datos de pago, no respondas. Llama directamente a la persona usando un número que ya tengas, no el que viene en el correo. Toma treinta segundos y es, por mucho, lo más efectivo que puedes hacer.

Activa la autenticación de dos factores

Si un atacante obtiene las credenciales de inicio de sesión de alguien, 2FA puede bloquear una toma total de la bandeja de entrada. No detendrá todo, pero hace que comprometer una cuenta sea significativamente más difícil.

Enséñale a tu equipo cómo se ve lo correcto

La capacitación regular sobre qué es el BEC, cómo funciona y cómo se ven las señales de alerta puede convertir a tus empleados en una línea de defensa.

Deja que tus herramientas hagan parte del trabajo pesado

Los filtros de spam y las herramientas de autenticación de dominios como SPF, DKIM, and DMARC pueden filtrar intentos de BEC antes de que lleguen a tu equipo. La detección basada en IA va un paso más allá. Aprende cómo se ve el comportamiento normal del correo electrónico dentro de tu organización y marca cualquier cosa sospechosa.

Preguntas frecuentes

El compromiso de correo electrónico empresarial ocurre cuando un delincuente finge ser alguien en quien confías por correo electrónico para engañarte y hacer que envíes dinero o compartas información sensible. Los atacantes envían un correo convincente que imita el tono de los correos de la empresa e incluso proviene de una dirección de correo electrónico corporativa.

Están relacionados, pero no son lo mismo. El phishing lanza una red amplia, enviando correos genéricos a tantas personas como sea posible. Los ataques BEC son dirigidos. Los atacantes investigan a una empresa específica, a una persona específica y a un momento específico. El resultado es mucho más convincente y mucho más costoso.

La mayoría de las estafas de compromiso de correo electrónico empresarial comienzan con investigación. Los atacantes estudian la estructura y la comunicación de una empresa. Una vez que saben lo suficiente, falsifican una dirección de correo electrónico confiable o toman el control de una real.

Fraude del CEO. Un atacante suplanta a un alto ejecutivo y presiona a alguien de finanzas para transferir dinero rápidamente. Funciona porque la mayoría de las personas no cuestionan una solicitud urgente del jefe.

Sí. La protección contra el compromiso de correo electrónico empresarial comienza con las personas. Capacita a tu equipo para detectar las señales de alerta, verificar por teléfono las solicitudes de pago y usar herramientas como 2FA y DMARC para hacer que tu correo electrónico sea más difícil de comprometer. Ninguna medida por sí sola es infalible, pero la combinación correcta hace que seas un objetivo mucho más difícil.

Foto de perfil de Josh Horritt
Escrito por

Josh Horritt

Josh es redactor publicitario y UX writer de Manchester, Reino Unido. Comenzó su carrera como periodista en la BBC y ahora trabaja en los productos de correo electrónico de Spaceship, escribiendo blogs y textos enfocados en el usuario. Fuera del trabajo, normalmente está en las montañas o haciendo música con amigos.
Más artículos de Josh Horritt

Califica este artículo

5/52 Reseñas
Compartir este artículo

Artículos sugeridos

Cómo Spacemail te protege del rastreo
Es probable que la actividad de tu correo electrónico esté siendo rastreada sin que lo sepas. Aprende cómo eliminar enlaces de rastreo sin perder ninguna funcionalidad.
Jamie L.
4 min de lectura
Las diferentes caras de las amenazas por correo electrónico
Familiarízate con las estafas por correo electrónico más comunes para que puedas protegerte contra ellas.
Jamie L.
15 min de lectura
Mantenerte seguro con el correo electrónico en la era digital
Una gran parte de los delitos en Internet ocurre por correo electrónico. Conoce las formas más sencillas de implementar la seguridad del correo electrónico en tu negocio con estos consejos de seguridad del email.
Jamie L.
8 min de lectura
Cómo detener el spam por correo electrónico: tácticas que funcionan
¿Inundado de spam? Esta guía te ayuda a recuperar tu bandeja de entrada y proteger tu seguridad en línea.
Stefania S.
5 min de lectura

Comparte tus pensamientos

Se requieren más de 10 caracteres.
Tu identidad para mostrar al público.
Proporcionar su dirección de correo electrónico es opcional. No se compartirá con terceros.
Tabla de contenidos

Ayúdanos a mejorar nuestro blog

Comparte tus pensamientos en una encuesta rápida de dos minutos.

Se requiere un correo electrónico válido