Puntos Clave
Su gerente financiero recibe un correo electrónico del director ejecutivo solicitando una transferencia bancaria urgente antes del final del día. El mensaje usa el nombre del director ejecutivo, menciona un acuerdo real en curso y solicita discreción. Parece serio y urgente. El gerente procesa la transferencia y solo después descubre que el director ejecutivo nunca envió ese correo electrónico.
Eso es una violación del correo electrónico empresarial. Y ahora es la forma de ciberdelito más perjudicial financieramente. El FBI... Centro de Quejas contra Delitos en Internet reportó miles de millones de dólares en pérdidas por BEC solo en 2023, y es probable que la cifra real sea mayor debido a que muchos incidentes no se denuncian. Lo que hace que BEC sea tan peligroso es su simplicidad. No hay ningún archivo adjunto de malware ni ningún exploit evidente. Solo una suplantación de identidad bien documentada y muy convincente.
Comprender qué es el compromiso del correo electrónico empresarial, cómo se desarrollan estos ataques y qué defensas funcionan realmente ofrece a las organizaciones una mejor posibilidad de proteger sus cuentas financieras, datos confidenciales y operaciones principales contra el tipo de pérdida que el BEC está diseñado para causar.
La vulneración del correo electrónico empresarial es un esquema de fraude sofisticado en el que los atacantes se hacen pasar por personas de confianza, incluidos ejecutivos, proveedores, socios comerciales y colegas, a través del correo electrónico para manipular a los empleados para que realicen acciones que beneficien al atacante financiera o informativamente.
Los atacantes no necesitan habilidades técnicas para violar los sistemas; necesitan suficiente información sobre la estructura, las relaciones y los procesos de una organización para crear correos electrónicos de suplantación de identidad creíbles dirigidos a empleados con autoridad para transferir fondos, compartir datos o cambiar información de cuentas.
El phishing genérico envía mensajes idénticos a miles de destinatarios aleatorios, con la esperanza de que un porcentaje caiga en la trampa. El BEC es lo opuesto: un mensaje cuidadosamente investigado, enviado a un objetivo específico, suplantando la identidad de una persona de confianza específica y haciendo referencia a un contexto organizacional real.
Este enfoque específico es lo que hace que el BEC sea más efectivo y más costoso que el phishing genérico. Funciona porque las organizaciones se basan en la confianza basada en el correo electrónico. Los empleados procesan las solicitudes de pago de los ejecutivos, responden a los cambios en las facturas de los proveedores y comparten información con abogados o auditores sin poder verificar siempre sus identidades a través de otros canales.
Los ataques BEC siguen una metodología estructurada desde la investigación inicial hasta la ejecución de solicitudes fraudulentas.
Los atacantes identifican organizaciones e individuos específicos que vale la pena atacar, generalmente aquellos con autoridad financiera (directores financieros, gerentes de cuentas a pagar), acceso a datos confidenciales (gerentes de recursos humanos, asistentes ejecutivos) o control sobre relaciones con proveedores.
Las fuentes de investigación incluyen perfiles de LinkedIn que muestran la jerarquía organizacional, sitios web de empresas que identifican a los ejecutivos y sus roles, comunicados de prensa que anuncian asociaciones y acuerdos, redes sociales que revelan cronogramas de viajes y prioridades actuales, y presentaciones financieras públicas que muestran el tamaño de la empresa y los volúmenes de transacciones.
Esta fase de investigación puede durar semanas. Los atacantes mapean las relaciones de subordinación, identifican qué empleados procesan los pagos, comprenden las relaciones con los proveedores y buscan eventos futuros, como adquisiciones, auditorías o plazos de impuestos, que proporcionen pretextos creíbles para solicitudes urgentes.
Los atacantes obtienen la capacidad de enviar mensajes convincentes a través de dos métodos principales: apropiación de cuentas y suplantación de dominio.
En una usurpación de cuenta, los atacantes comprometen una cuenta de correo electrónico legítima, a menudo mediante phishing, robo de credenciales o compra de credenciales vulneradas, y envían mensajes BEC desde la dirección real. Estos ataques son los más convincentes porque provienen de cuentas auténticas y de confianza.
Cuando los atacantes no tienen acceso a la cuenta, recurren a técnicas de suplantación de identidad. Pueden usar la suplantación de nombre de usuario, donde el nombre del remitente parece legítimo aunque la dirección de correo electrónico subyacente sea diferente. En otros casos, registran dominios similares, como company-inc.com o cornpany.com, que se asemejan mucho al dominio real y pueden pasar una inspección superficial.
Utilizando la investigación recopilada, los atacantes crean mensajes que parecen auténticos. Hacen referencia a proyectos y relaciones reales, eventos empresariales actuales y al estilo de comunicación de la persona suplantada. Los mensajes suelen ser breves y profesionales, lo suficientemente largos para ser convincentes y lo suficientemente cortos para evitar inconsistencias.
El mensaje envía una solicitud diseñada para ser procesada rápidamente con una verificación mínima: una transferencia bancaria a una nueva cuenta, el pago de una factura a una cuenta bancaria modificada, la nómina de un empleado redirigida a cuentas controladas por un atacante o datos confidenciales reenviados por una razón aparentemente legítima.
La urgencia y el secretismo son tácticas de presión comunes: "Procese esto antes del cierre de operaciones de hoy", "No utilice los canales habituales para esto", "Mantenga esto confidencial hasta que se cierre el trato". Estas solicitudes están diseñadas para evitar los pasos de verificación que expondrían el fraude.
Los ataques BEC adoptan varias formas distintas, cada una de las cuales apunta a diferentes vulnerabilidades organizacionales.
La variante más conocida de BEC, el fraude del CEO, consiste en que los atacantes se hacen pasar por el director ejecutivo de una organización para presionar a los empleados de menor rango a tomar medidas urgentes. Un gerente financiero recibe un correo electrónico que parece provenir del CEO solicitando una transferencia bancaria inmediata para una adquisición confidencial, evadiendo los procesos de aprobación habituales.
El fraude del CEO se aprovecha de la relación de autoridad entre ejecutivos y empleados. La mayoría de las personas no cuestionan las solicitudes directas de su CEO, sobre todo cuando van acompañadas de urgencia y una solicitud de discreción.
Los atacantes se hacen pasar por un proveedor conocido, informan a la organización objetivo de que sus datos bancarios han cambiado y solicitan que los próximos pagos se dirijan a una nueva cuenta. Dado que la comunicación hace referencia a relaciones reales con proveedores y negocios en curso, parece rutinaria.
Esta variante es particularmente efectiva porque el procesamiento de facturas implica comunicaciones regulares con partes externas, lo que dificulta que los equipos de cuentas por pagar verifiquen cada cambio a través de canales secundarios.
Los departamentos de RR. HH. reciben correos electrónicos que parecen provenir de empleados que solicitan cambios en el depósito directo de nóminas a nuevas cuentas bancarias. Si se procesan, el próximo pago del empleado, o varios, se redirigen a la cuenta del atacante en lugar de a la del empleado.
Estos ataques se dirigen a Recursos Humanos en lugar de a Finanzas, explotando la naturaleza rutinaria de las solicitudes de cambio de nómina que los equipos de Recursos Humanos procesan regularmente.
Los atacantes se hacen pasar por abogados, bufetes de abogados o asesores legales que gestionan asuntos delicados (fusiones, adquisiciones, problemas de cumplimiento o litigios) y solicitan transferencias financieras urgentes o información confidencial. El encuadre de la autoridad legal reduce la predisposición de los destinatarios a cuestionar o verificar.
Las solicitudes a menudo enfatizan los requisitos de confidencialidad legal para disuadir a los empleados de consultar a colegas que puedan plantear preguntas.
No todos los ataques BEC buscan dinero. Algunos atacan datos confidenciales: formularios W-2 que contienen números de Seguro Social e información salarial de empleados, propiedad intelectual, bases de datos de clientes o documentos confidenciales de estrategia empresarial.
El robo de datos (BEC) suele preceder al fraude financiero. Cuando los atacantes roban información de los empleados, como datos de nómina o de depósito directo, pueden utilizarla posteriormente para redirigir el pago de salarios o prestaciones. Al mismo tiempo, los documentos internos, las listas de contactos y los patrones de comunicación proporcionan a los atacantes la información necesaria para crear correos electrónicos de suplantación de identidad más creíbles en futuros ataques.
Los mensajes BEC están diseñados para parecer legítimos, pero patrones específicos revelan su verdadera naturaleza tras una inspección cuidadosa.
Inconsistencias de remitente y dominio:
Anomalías del lenguaje y del tono:
Solicitudes financieras inusuales:
Urgencia y presión del secretismo:
Contexto de solicitud inusual:
Mantener listas de contactos limpias y verificadas y utilizar herramientas confiables. herramientas de verificación de correo electrónico Ayuda a las organizaciones a identificar cuándo llegan mensajes de direcciones que no coinciden con los registros de contacto establecidos, lo que constituye una señal temprana de posible actividad BEC.
Una prevención BEC eficaz requiere controles estratificados en los sistemas técnicos, el comportamiento de los empleados, los procesos financieros y las políticas organizacionales.
Ninguna solución técnica detiene por sí sola el BEC, por lo que las organizaciones deben combinar autenticación, monitoreo y controles de acceso para reducir el riesgo.
Configuración adecuada de registros SPF, DKIM y DMARC Una política de cumplimiento reduce significativamente la suplantación de dominio directa, impidiendo que los atacantes envíen mensajes no autenticados que aparentemente provienen de su dominio. DMARC p=reject garantiza que los mensajes no autenticados que afirman provenir de su dominio no lleguen a los destinatarios, protegiendo así tanto a sus empleados de la suplantación de dominio entrante como a sus clientes de los atacantes que se hacen pasar por su organización.
Las herramientas de seguridad de correo electrónico basadas en IA monitorizan cómo se comunican las personas habitualmente y buscan actividades que se salen de esos patrones. Por ejemplo, pueden marcar correos electrónicos que difieren notablemente del tono o la redacción habituales del remitente, o intentos de inicio de sesión desde ubicaciones o direcciones IP desconocidas. Dado que estos sistemas analizan el comportamiento en lugar de simplemente buscar enlaces o archivos adjuntos maliciosos conocidos, pueden detectar intentos de BEC bien diseñados que los filtros tradicionales basados en firmas no suelen detectar.
La autenticación multifactor (MFA) en todas las cuentas de correo electrónico ayuda a prevenir el robo de cuentas, una de las formas más convincentes de BEC. Cuando los atacantes acceden a la bandeja de entrada de un empleado real, sus mensajes parecen totalmente legítimos porque se envían desde una dirección auténtica y de confianza. La MFA añade un segundo paso de verificación, por lo que incluso si los atacantes roban una contraseña mediante phishing, no pueden iniciar sesión ni usar la cuenta para enviar mensajes fraudulentos.
Registre versiones similares comunes del dominio de su organización, como pequeñas faltas de ortografía o variaciones con guiones, para evitar que los atacantes las usen. Además, supervise la actividad de registro de dominios para detectar dominios recién creados que se asemejen mucho a su marca. Detectar estos dominios a tiempo puede indicar que está preparado para una campaña de BEC y le dará tiempo para investigar o tomar medidas defensivas antes de que se envíen correos electrónicos fraudulentos.
La capacitación regular basada en escenarios, centrada en el BEC, capacita a los empleados para reconocer señales de alerta sutiles que las herramientas de seguridad automatizadas pueden pasar por alto. Los empleados deben practicar la identificación de:
Ejercicios de simulación BEC, donde TI envía mensajes BEC falsos controlados para probar las respuestas de los empleados, identificar brechas de capacitación y desarrollar habilidades prácticas de reconocimiento de manera más efectiva que la instrucción en el aula únicamente.
Las garantías financieras garantizan que, incluso si un correo electrónico engañoso llega a un empleado, no pueda desencadenar de inmediato acciones de pago irreversibles.
Exigir dos aprobaciones independientes para transferencias bancarias que superen los umbrales definidos. Los ataques BEC suelen aprovechar situaciones en las que solo una persona tiene la autoridad para liberar fondos, lo que la convierte en un blanco fácil para el engaño. Exigir una doble autorización garantiza que, incluso si un empleado es engañado, una segunda revisión aporta una protección crucial antes de que el dinero salga de la organización.
Establezca una política que requiera la verificación telefónica, utilizando números de teléfono conocidos y preestablecidos, para cualquier instrucción de pago que involucre nuevas cuentas, cambios en los datos bancarios o montos inusuales. Los empleados nunca deben confiar en la información de contacto proporcionada en el correo electrónico para confirmar estas solicitudes. Una simple llamada de verificación a través de un canal confiable puede detener muchos intentos de BEC financiero antes de que se transfieran los fondos.
Establezca un procedimiento estructurado para las solicitudes de cambio de proveedores que incluya varios pasos de verificación antes de aprobar cualquier actualización. Esto debería incluir llamadas directas a los contactos establecidos de los proveedores y períodos de espera antes del procesamiento. Los procesos rutinarios para los cambios reducen la efectividad de los atacantes.
Las políticas claras y escritas sobre autorización financiera, solicitudes de cambio de pago y solicitudes inusuales de intercambio de datos ofrecen a los empleados un marco para gestionar situaciones sospechosas sin sentir que están cuestionando la autoridad legítima. Las políticas que establecen explícitamente «nunca solicitaremos transferencias bancarias urgentes solo por correo electrónico» reducen la presión que explotan los ataques BEC.
Limpieza de listas de correo electrónico Apoya regularmente la detección eficaz de BEC, ya que es alta rebotar Las tarifas y la mala reputación del remitente pueden debilitar el filtrado de seguridad que ayuda a detectar mensajes sospechosos.
La vulnerabilidad del correo electrónico empresarial tiene éxito porque explota la confianza de la organización en lugar de vulnerabilidades técnicas. Los atacantes invierten en investigación, crean suplantaciones de identidad convincentes y atacan a las personas y procesos específicos que gestionan transacciones financieras y datos confidenciales, sin necesidad de una sola línea de código malicioso.
La prevención requiere combinar esa sofisticación con defensas en capas: protocolos de autenticación que eviten la suplantación de dominios, MFA que bloquee la apropiación de cuentas, capacitación de empleados que desarrolle habilidades de reconocimiento específicas de BEC y controles financieros que requieran una verificación fuera de banda antes de procesar solicitudes inusuales.
Mantener una infraestructura de correo electrónico limpia es parte de su estrategia de defensa contra BEC. Debounce Para verificar las listas de contactos y reducir los correos electrónicos rebotados que perjudican la reputación del remitente. Cuando sus datos de contacto son precisos y sus controles de autenticación están correctamente configurados, es más fácil detectar mensajes que se originan fuera de las relaciones establecidas con proveedores y socios, lo que dificulta la ejecución exitosa de los intentos de BEC.
Sí, la mayoría de los ataques BEC no implican malware alguno. Se basan completamente en ingeniería social, suplantación de identidad e investigación para manipular a los empleados y lograr que realicen acciones fraudulentas, por lo que las herramientas tradicionales de antivirus y detección de malware no previenen el BEC de forma fiable.
Sí. El cifrado protege el contenido del mensaje contra intercepciones, pero no verifica la identidad del remitente; un mensaje BEC enviado desde una cuenta falsificada o comprometida puede estar cifrado y aun así ser fraudulento, por lo que la autenticación del remitente (DMARC, SPF, DKIM) y los procedimientos de verificación son importantes junto con el cifrado.
Encuentre respuestas rápidas a sus preguntas sobre nuestros precios y planes.
Muchos profesionales del marketing de comercio electrónico están muy interesados en invertir en marketing por correo electrónico. Están aumentando sus listas de contactos, enviando campañas de correo electrónico atractivas para captar la atención de los visitantes o, mejor aún...
El email marketing es una parte integral de cualquier negocio que busca brindar la mejor experiencia al cliente. Ofrece el ROI (retorno de la inversión) más eficiente.
Es posible que se haya hablado con frecuencia de la importancia de la entregabilidad del correo electrónico para la estrategia de marketing por correo electrónico de una organización. Sin embargo, puede que no comprendas del todo cómo se aplica...
Si te sientes algo incómodo al escribir correos electrónicos de seguimiento, no estás solo. Muchos profesionales del marketing no saben cómo abordar este tipo de correos por una razón obvia:…
Si lleva suficiente tiempo en el sector, probablemente haya oído hablar de al menos algunas filtraciones de datos importantes que afecten a pequeñas y medianas empresas, pequeños...
La limitación de correo electrónico restringe la cantidad de mensajes que se pueden entregar en un período de tiempo determinado para proteger los servidores y reducir el spam. Los retrasos en la entrega de correo electrónico...
