BEC – El engaño silencioso.

¿Qué es el BEC y cómo protegerse?

Imagina que recibes un correo de un cliente habitual, con el que llevas tiempo trabajando. Te envía una factura por servicios prestados, como otras veces, con todos los datos en orden. Pero esta vez, el número de cuenta bancaria ha cambiado. Tú haces el pago sin sospechar nada… y días después descubres que el cliente nunca envió esa factura. El dinero ha ido a parar a manos de un estafador.

Así funciona el BEC, o Business Email Compromise, un tipo de fraude digital que está creciendo silenciosamente en empresas de todo el mundo.

Este tipo de engaño no necesita virus ni archivos sospechosos. Se basa en algo mucho más poderoso: la confianza. Los delincuentes se hacen pasar por personas conocidas dentro de una relación comercial ya establecida para engañar a otros empleados y conseguir dinero o información.

El método se apoya en dos vías principales:

1. Suplantación de identidad

  • Direcciones similares: el atacante crea una cuenta con una dirección que se parece mucho a la real. Ejemplo: director@empresaa.com en lugar de director@empresa.com.

  • Encabezado falsificado: aunque el correo venga de una cuenta distinta, el nombre visible del remitente se modifica completamente, lo que refuerza la ilusión.

  • Respuesta a hilos existentes: el atacante inicia una conversación nueva que simula ser parte de un intercambio anterior, copiando el estilo, el asunto y el contenido habitual.

  • Firma y formato imitados: se replica la firma corporativa, el tono del mensaje y los elementos visuales (logos, pie de página, etc.) para que el correo parezca auténtico.

2. Cuenta comprometida

El atacante accede a una cuenta real de correo, y desde ahí escribe como si fuera el verdadero remitente. En este caso, el mensaje sí es auténtico en apariencia, pero ha sido enviado por alguien que no debería tener acceso.

Ejemplos reales

  • Un proveedor habitual envía una factura con un número de cuenta distinto al de siempre.

  • Un cliente solicita un reembolso o pago urgente, pero el correo proviene de una cuenta que ha sido hackeada.

  • Un mensaje aparentemente normal pide acceso a documentos o datos sensibles, pero el remitente ha sido suplantado.

¿Por qué es tan efectivo? Porque no parece un ataque. No hay antivirus que lo detecte. No hay archivos adjuntos peligrosos. Solo un correo bien escrito, enviado en el momento justo, con la urgencia adecuada.

Además, los atacantes investigan a sus víctimas. Analizan redes sociales, páginas web corporativas, incluso correos anteriores. Saben quién es quién, qué rol tiene cada persona, y cómo se comunican entre sí.

Este tipo de fraude ha afectado tanto a grandes empresas como a pequeños negocios. Y lo peor: muchas veces no se descubre hasta que es demasiado tarde.

La buena noticia es que hay formas eficaces de prevenirlo, y no todas dependen del usuario final. Aquí van algunas claves:

Consejos prácticos

  • Autentica los correos que envías: Si tu empresa envía mensajes sin mecanismos que demuestren claramente su origen, está dejando la puerta abierta a que otros los falsifiquen. Es fundamental configurar los sistemas de correo para que cada mensaje pueda ser verificado por quien lo recibe.

  • Exige autenticación clara en los correos entrantes: Los sistemas de correo deben comprobar que el mensaje viene realmente de quien dice ser.

  • Penaliza los correos sin pruebas de autenticidad: Si un mensaje no puede demostrar su origen, debe ser bloqueado o marcado como sospechoso.

  • Confirma por otro canal: Si recibes una solicitud inusual, llama o habla directamente con la persona antes de actuar.

  • Establece reglas internas: Que ninguna transferencia se haga sin doble verificación, y que los cambios de cuenta bancaria se confirmen por teléfono. ( Desde el 9 de octubre del 2025 se ha implementado la verificación del nombre del beneficiario” o “comprobación de coincidencia de nombre e IBAN” en las transferencias como parte de un paquete de normas europeas).

  • Forma a tu equipo: Todos deben saber qué es el BEC y cómo detectarlo.

La clave está en la combinación

El BEC no se combate únicamente con tecnología, ni basta con confiar solo en la atención de las personas. Hace falta una cultura preventiva dentro de la empresa, donde los empleados estén formados y alerta, pero también es esencial que los sistemas de correo exijan pruebas claras de identidad en los mensajes que reciben. Cuando ambas cosas se alinean —personas preparadas y correos bien autenticados—, las posibilidades de caer en este tipo de engaños se reducen drásticamente.

Powered by  GDPR Cookie Compliance
Resumen de privacidad

Esta web utiliza cookies para que podamos ofrecerte la mejor experiencia de usuario posible. La información de las cookies se almacena en tu navegador y realiza funciones tales como reconocerte cuando vuelves a nuestra web.