Cómo proteger a las empresas frente al fraude por correo electrónico (BEC)

Con el inicio del año y la recuperación del ritmo habitual de trabajo, las empresas retoman proyectos, pagos a proveedores, cierres contables y nuevas operaciones. Este contexto, marcado por un mayor volumen de gestiones y cierta urgencia operativa, es también uno de los momentos preferidos por los ciberdelincuentes para lanzar ataques dirigidos a organizaciones de todos los sectores, incluido el turístico.

Entre las amenazas con mayor impacto económico destaca el Business Email Compromise (BEC), o fraude por correo corporativo comprometido, una tipología de estafa que continúa creciendo y sofisticándose.

¿En qué consiste un ataque BEC?

El BEC es un fraude basado en la suplantación de identidad o en el acceso ilícito a cuentas reales de correo electrónico corporativo. El objetivo de los atacantes es engañar a empleados o responsables financieros para provocar transferencias económicas, cambios en cuentas bancarias o la entrega de información sensible.

A diferencia de otros ciberataques más masivos, este tipo de fraude se caracteriza por su alto grado de personalización. Los delincuentes analizan previamente la estructura de la empresa, sus relaciones con proveedores y los roles internos, aprovechando la confianza existente entre las personas que forman parte de la organización.

¿Cómo actúan los estafadores?

Los ataques BEC suelen combinar técnicas de ingeniería social con accesos no autorizados a cuentas de correo. Algunas de las estrategias más habituales incluyen:

- Solicitudes urgentes de transferencias bancarias aparentando proceder de directivos.

- Envío de facturas falsas o modificaciones de los datos bancarios de proveedores habituales.

- Uso de cuentas de correo reales previamente comprometidas, lo que dificulta su detección.

- Peticiones dirigidas a departamentos financieros o de recursos humanos para obtener información confidencial.

Principales señales de alerta

Existen ciertos indicios que pueden ayudar a identificar un posible fraude BEC antes de que se materialice:

- Cambios inesperados en instrucciones de pago o números de cuenta.

- Mensajes que transmiten urgencia o presión para actuar de inmediato.

- Solicitudes que se salen de los procedimientos habituales de la empresa.

- Pequeñas variaciones en la dirección del remitente o en el dominio del correo electrónico.

Medidas clave de prevención

Reducir el riesgo de sufrir este tipo de estafas requiere combinar medidas técnicas con una adecuada organización interna. Algunas acciones especialmente efectivas son:

- Verificar por un canal alternativo cualquier solicitud de pago o cambio de cuenta bancaria.

- Implantar sistemas de autenticación multifactor (MFA) en el acceso al correo corporativo.

- Formar y concienciar a los equipos sobre este tipo de fraudes.

- Definir protocolos claros de validación y autorización interna para operaciones sensibles.

La experiencia demuestra que la prevención y la concienciación siguen siendo los pilares fundamentales para mitigar el impacto de este tipo de amenazas, especialmente en momentos de alta actividad empresarial.

Para aquellas organizaciones que deseen profundizar en la gestión de estos riesgos o reforzar su estrategia de seguridad digital, pueden obtener más información escribiendo a info@binaura.es

Xavier Ferretjans

Director de Binaura, Grupo Monlex