Seleccionar Página

Compromiso del Correo Electrónico Empresarial (BEC)

por Editor AMECI | Jul 8, 2026


¿Qué es el Business Email Compromise (BEC)?

El Business Email Compromise (BEC) o Compromiso del Correo Electrónico Empresarial es un tipo de fraude en el que los ciberdelincuentes utilizan el correo electrónico para engañar a empleados, directivos o proveedores con el objetivo de obtener dinero, información confidencial o acceso a sistemas.

A diferencia de otros ataques, el BEC no depende necesariamente de malware. Los atacantes aprovechan la ingeniería social, la confianza entre las personas y el conocimiento de los procesos internos de una organización para que la víctima realice una acción legítima, como autorizar una transferencia bancaria o compartir información sensible.


¿Cómo funciona un ataque BEC?

Aunque existen diferentes variantes, la mayoría de los ataques siguen un proceso similar:

  1. Los atacantes investigan a la organización utilizando información pública, redes sociales y sitios web corporativos.
  2. Identifican a directivos, personal financiero, recursos humanos o empleados con acceso a información crítica.
  3. Obtienen acceso a una cuenta de correo legítima o crean un dominio muy parecido al de la empresa.
  4. Envían mensajes convincentes solicitando pagos urgentes, cambios de cuentas bancarias o envío de información confidencial.
  5. La víctima realiza la acción creyendo que la solicitud proviene de un directivo o socio comercial.

Tipos más comunes de ataques BEC

Suplantación del Director General (CEO Fraud)

El atacante se hace pasar por un alto directivo y solicita una transferencia urgente argumentando una operación confidencial o una adquisición.


Fraude a proveedores

Los ciberdelincuentes interceptan conversaciones comerciales o crean correos similares para informar que cambiaron sus datos bancarios, logrando que el pago sea enviado a una cuenta fraudulenta.


Robo de credenciales

Se envían enlaces hacia páginas falsas que imitan servicios como Microsoft 365 o Google Workspace para capturar las credenciales corporativas.


Fraude en Recursos Humanos

Los atacantes solicitan información de empleados, nóminas, declaraciones fiscales o datos personales que posteriormente pueden utilizar para cometer otros fraudes.


Señales de alerta

Algunos indicadores que pueden ayudar a detectar un ataque BEC incluyen:

  • Solicitudes urgentes de pago.
  • Cambios inesperados de cuentas bancarias.
  • Correos enviados fuera del horario habitual.
  • Errores sutiles en el dominio del remitente.
  • Solicitudes de confidencialidad excesiva.
  • Cambios repentinos en procedimientos financieros.
  • Archivos o enlaces inesperados.

¿Por qué es tan peligroso?

El BEC aprovecha un elemento difícil de controlar: la confianza entre las personas.

Mientras muchas soluciones de seguridad detectan malware o archivos maliciosos, un correo perfectamente redactado puede parecer completamente legítimo.

Además, actualmente los delincuentes utilizan herramientas de inteligencia artificial para:

  • redactar mensajes sin errores gramaticales;
  • traducir correos a diferentes idiomas;
  • imitar el estilo de escritura de ejecutivos;
  • automatizar campañas dirigidas.

Esto incrementa considerablemente la efectividad de este tipo de fraude.


Cómo proteger a la organización

La prevención requiere combinar controles técnicos con procesos y capacitación.

Se recomienda implementar las siguientes medidas:

  • Activar autenticación multifactor (MFA).
  • Configurar correctamente SPF, DKIM y DMARC.
  • Verificar cualquier cambio de cuentas bancarias mediante otro canal.
  • Limitar privilegios de acceso.
  • Capacitar periódicamente al personal.
  • Implementar procesos de doble autorización para pagos.
  • Supervisar accesos inusuales al correo corporativo.
  • Utilizar soluciones de protección del correo electrónico.

¿Qué hacer si sospecha de un ataque BEC?

Si un empleado recibe un correo sospechoso:

  1. No responder al mensaje.
  2. No abrir enlaces ni descargar archivos.
  3. Confirmar la solicitud mediante llamada telefónica o videoconferencia.
  4. Informar inmediatamente al área de TI o Seguridad.
  5. Cambiar las credenciales si existe sospecha de compromiso.
  6. Revisar registros de acceso al correo electrónico.
  7. Notificar al banco si se realizó una transferencia fraudulenta.

La rapidez en la respuesta puede reducir significativamente el impacto económico.


Conclusión

El Compromiso del Correo Electrónico Empresarial (BEC) se ha convertido en una de las amenazas más rentables para los ciberdelincuentes porque explota los procesos de negocio y la confianza entre las personas, más que las vulnerabilidades tecnológicas.

Fortalecer la seguridad del correo electrónico, capacitar continuamente al personal y establecer procedimientos de verificación son medidas esenciales para reducir el riesgo de este tipo de fraude.


Loading

¡Haz clic para puntuar esta entrada!
(Votos: 1 Promedio: 5)

¿Conoces el nivel de protección en ciberseguridad de su organización?

Antes de invertir en nuevas herramientas de seguridad, conoceel nivel de madurez en ciberseguridad de tu organización. El Diagnóstico de Ciberseguridad de AMECI te permite identificar fortalezas, detectar oportunidades de mejora y obtener un reporte con recomendaciones para fortalecer la protección de su empresa.

Más artículos

Los ciberataques a la cadena de suministro

Los ciberataques a la cadena de suministro

Los ataques dirigidos a la cadena de suministro digital se consolidaron en 2025 como una de las amenazas más costosas y complejas para las organizaciones a nivel global. Según el informe “Ataques a la cadena de suministro: análisis 2025 y tendencias 2026”, elaborado...

leer más...
Share This