BEC Business Email Compromise.

BEC es el ataque de ingeniería social dirigido que suplanta a un directivo o proveedor para redirigir un pago o engañar a un empleado para que lo apruebe. No requiere malware; es pretexting puro. La pérdida media por incidente supera con creces a la del ransomware. Los controles de proceso (segregación de funciones, verificación por devolución de llamada) lo detectan; la tecnología por sí sola no.

By Christophe Mazzola, Practicing CISO · Founder of Cyber AcademyCybersecurity operationsAll entries

La perspectiva de Cyber Academy

BEC es el ataque de ingeniería social dirigido que suplanta a un directivo o proveedor para redirigir un pago o engañar a un empleado para que lo apruebe. No requiere malware; es pretexting puro. La pérdida media por incidente supera con creces a la del ransomware. Los controles de proceso (segregación de funciones, verificación por devolución de llamada) lo detectan; la tecnología por sí sola no.

Qué diferencia al BEC del phishing común

El Business Email Compromise es un fraude ejecutado mediante un pretexto en lugar de una carga maliciosa. El atacante no necesita un enlace malicioso ni un adjunto que instale malware. Necesita una historia plausible, una sensación de urgencia y una víctima con la autoridad para mover dinero o datos. Un dominio suplantado o parecido, un buzón comprometido o una dirección recién registrada que se asemeje a un proveedor conocido bastan para montar el escenario. Como nada técnicamente malicioso cruza la red, las pasarelas de correo seguro, los antivirus y los sandbox de enlaces dejan pasar el mensaje con frecuencia. El ataque vive por completo en la conversación.

Por eso el BEC se sitúa junto al phishing en la misma familia y, sin embargo, se comporta de forma diferente en la práctica. El phishing genérico es una red amplia lanzada para conseguir credenciales o clics. El BEC es paciente y selectivo: el atacante investiga el organigrama, averigua quién aprueba las facturas, estudia el tono del correo interno y espera un momento creíble, como una adquisición, una operación inmobiliaria o un director financiero de viaje en el extranjero. La recompensa es una única transferencia fraudulenta o un depósito de nómina redirigido, a menudo por una cantidad elevada, en lugar de una contraseña capturada.

Las variantes comunes que ven los profesionales

El BEC es una categoría, no un único truco. La misma lógica de pretexto se reutiliza contra cualquier proceso que mueva valor dentro de la organización.

  • Fraude del CEO: un atacante suplanta a un alto directivo y presiona a un empleado de finanzas para que tramite una transferencia urgente y confidencial, apoyándose en la jerarquía y la discreción para desalentar las preguntas.
  • Fraude de proveedor, también llamado desvío de facturas: un proveedor de confianza parece enviar por correo nuevos datos bancarios, de modo que la siguiente factura legítima se paga en la cuenta del atacante.
  • Desvío de nóminas: un empleado parece solicitar un cambio de la cuenta de destino de su salario, redirigiendo discretamente su propia paga hacia el defraudador.
  • Toma de control de cuenta: se compromete un buzón interno real, de modo que la solicitud fraudulenta llega desde una dirección genuina con un historial genuino, lo que elimina la mayoría de las señales de alerta habituales.
  • Suplantación de abogado o asesor jurídico: el pretexto se apoya en una operación confidencial y con plazo apremiante donde se espera el secreto y verificar parece descortés.

Por qué aquí el proceso gana a la tecnología

La autenticación del correo ayuda. SPF, DKIM y DMARC elevan el coste de la suplantación directa de dominio y deben implantarse. Pero no hacen nada contra un dominio parecido, una dirección de correo web gratuita o un buzón interno realmente comprometido, que son los canales que más usa el BEC real. Los controles decisivos son procedimentales, en manos de finanzas y operaciones más que de las herramientas de seguridad.

  • Segregación de funciones para que ninguna persona pueda solicitar y liberar un pago al mismo tiempo.
  • Verificación por devolución de llamada fuera de banda: confirme cualquier dato bancario nuevo o modificado, y cualquier transferencia inusual, usando un número de teléfono que ya conste en el registro, nunca un número o contacto facilitado dentro de la propia solicitud.
  • Una regla estricta de que la urgencia y la confidencialidad nunca eluden el circuito de aprobación estándar; esas dos emociones son las herramientas del atacante.
  • Umbrales de doble autorización para las transferencias y los cambios de datos bancarios de proveedores.

Dónde encaja el BEC en el panorama regulatorio

El BEC es una causa principal de pérdidas financieras ligadas al correo, lo que lo sitúa de lleno dentro del alcance que un sistema de gestión de la seguridad de la información está destinado a abordar. Bajo un SGSI ISO 27001, el tratamiento pertinente combina formación de concienciación, controles de relaciones con proveedores y los procedimientos operativos que rigen los pagos. Cuando el BEC tiene éxito y se exponen datos personales, por ejemplo a través de un buzón comprometido lleno de correspondencia, también puede activar obligaciones de violación de datos personales bajo el GDPR, razón por la cual el plan de respuesta debe involucrar al área jurídica y a la función de protección de datos, no solo a finanzas y a TI.

Para los profesionales, la conclusión es que la defensa contra el BEC es una responsabilidad compartida. Seguridad posee la autenticación del correo, la supervisión y la concienciación. Finanzas posee los controles de pago que realmente detienen el fraude. Tratarlo como un problema puramente técnico que se resuelve con una mejor pasarela es el error que mantiene el flujo de las pérdidas.

Frequently asked questions

01¿En qué se diferencia el BEC del phishing?

El BEC es un subtipo selectivo de phishing centrado en el pretexto en lugar de en una carga maliciosa. El phishing genérico lanza una red amplia para conseguir credenciales o clics, mientras que el BEC investiga una organización concreta y suplanta a un directivo o proveedor conocido para redirigir un pago. El BEC normalmente no lleva enlaces ni adjuntos maliciosos, por lo que los filtros técnicos a menudo no lo detectan.

02¿Por qué las pasarelas de seguridad del correo no detectan el BEC?

Porque con frecuencia no hay nada técnicamente malicioso que detectar. Un dominio parecido, una cuenta de correo web gratuita o un buzón interno realmente comprometido pueden enviar un mensaje impecable, sin enlace ni adjunto. La autenticación como DMARC detiene la suplantación, pero no estos canales, de modo que los controles decisivos son procedimentales.

03¿Qué control único detiene la mayoría de los fraudes BEC?

La verificación por devolución de llamada fuera de banda. Antes de pagar a una cuenta bancaria nueva o modificada, o de ejecutar cualquier transferencia inusual, confirme la instrucción por teléfono usando un número que ya conste en el registro, nunca un dato de contacto facilitado dentro de la propia solicitud.

04¿Es el BEC una violación de datos notificable?

Puede serlo. Si un buzón comprometido expone datos personales, el BEC puede activar obligaciones de violación de datos personales bajo el GDPR. El plan de respuesta debe involucrar al área jurídica y a la función de protección de datos junto con finanzas y TI.

05¿Previene el MFA el BEC?

El MFA, idealmente un MFA resistente al phishing, ayuda a prevenir la variante de toma de control de cuenta en la que se secuestra un buzón real. No hace nada contra los dominios parecidos ni la suplantación externa, por lo que debe combinarse con controles del proceso de pago.

¿Necesitas más que una definición?

Reserva una llamada de orientación gratuita de 20 minutos. Te orientamos sobre la edición que convierte este término en una práctica lista para auditoría.