Resumen ejecutivo del Informe Global sobre Amenazas 2026 de CrowdStrike: el informe definitivo sobre inteligencia de amenazas para la era de la IA Descargar

¿Qué es el BEC?

El compromiso de correo electrónico empresarial (BEC) es una técnica de ciberataque en la que los adversarios suplantan la identidad digital de un perfil fiable para conseguir que el personal o los consumidores realicen un pago o una compra, compartan datos o divulguen información confidencial, entre otros.

Según el Congressional Report on BEC and Real Estate Wire Fraud (Informe del Congreso sobre el BEC y el fraude electrónico en el sector inmobiliario) del FBI de 2022, el BEC es "uno de los delitos por Internet que está experimentando un crecimiento más rápido y supone un mayor daño económico". En 2021, el valor de las pérdidas reclamadas superó los 2400 millones de dólares, lo que supone un aumento del 566 % con respecto a 2016, de acuerdo con el Centro de Denuncias de Delitos en Internet (IC3). Se prevé un incremento de los casos de BEC como consecuencia del aumento del trabajo remoto y, por ende, la omnipresencia de canales de comunicación digital como el correo electrónico.

Comparación entre el compromiso de cuentas de correo electrónico (EAC) y el BEC

El compromiso de cuenta de correo electrónico (EAC) es una técnica de ciberataque en la que los hackers utilizan una serie de métodos (como la ingeniería social, el malware o las herramientas de descifrado de contraseñas) para comprometer una cuenta de correo electrónico legítima.

En muchos casos, el objetivo de los ciberdelincuentes que llevan a cabo BEC y EAC es el mismo: robar dinero, datos y otros tipos de información confidencial. Sin embargo, la principal diferencia es que, en un ataque BEC, el hacker simplemente se hace pasar por alguien fiable, como un empresario, abogado o proveedor importante, a menudo suplantando una cuenta de correo electrónico. A continuación, el ciberdelincuente intenta que un empleado u otra persona realice una acción determinada, como transferir fondos a su cuenta.

Por el contrario, en el caso de los ataques EAC, el ciberdelincuente provoca una brecha en una cuenta de correo electrónico legítima y actúa como el propietario de la misma. Al tener acceso a credenciales reales, el atacante puede llevar a cabo actividades fraudulentas y eludir las herramientas de autenticación multifactor.

Cinco tipos de estafas BEC

Según el FBI, existen cinco tipos principales de estafas BEC:

1. Compromiso de cuenta

Implica el hackeo de la cuenta de correo electrónico de un empleado y se utiliza como vehículo para cometer delitos financieros o relacionados con datos. En la mayoría de los casos, el ciberdelincuente utilizará la cuenta para solicitar pagos en nombre de proveedores. Estos fondos se transfieren posteriormente a cuentas controladas por los ciberdelincuentes o de su propiedad.

2. Suplantación de la identidad de un abogado

Este tipo de ataques están dirigidos a empleados recién contratados o con poca experiencia. El ciberdelincuente se hará pasar por un abogado o un miembro del equipo jurídico y presionará o manipulará al empleado para que realice determinadas acciones, como enviar datos o solicitar transferencias bancarias. Se indica que la solicitud es urgente, confidencial o ambas, por lo que los empleados recién contratados o con poca experiencia no saben cómo comprobarla y simplemente hacen lo que se les pide para evitar consecuencias negativas.

3. Fraude del CEO

Es similar a la suplantación de identidad de un abogado, pero, en este caso, el ciberdelincuente se hace pasar por CEO. En la mayoría de los casos, el ciberdelincuente atacará a un miembro del equipo financiero, de nuevo, solicitando asistencia inmediata con un asunto urgente o confidencial. En estos casos, se incita al empleado a transferir dinero a una cuenta controlada por el ciberdelincuente.

4. Robo de datos

Los ataques BEC también pueden dirigirse a los datos de las empresas. En la mayoría de los ataques de robo de datos, el ciberdelincuente se dirigirá a los miembros del equipo financiero o de RR. HH. e intentará robar información personal sobre los empleados o clientes de la empresa. Esta información se puede vender en la dark web o utilizarse para realizar ataques más sofisticados en el futuro.

5. Estafas de facturas falsas

El ciberdelincuente se hace pasar por un proveedor y solicita a un empleado el pago de un servicio. En la mayoría de los casos, el ciberdelincuente se presentará como un proveedor real y editará la plantilla de factura del proveedor real. Posteriormente, modificará los datos de la cuenta para que los fondos se transfieran a una cuenta de su propiedad.

¿Cómo funcionan las estafas BEC?

La mayoría de las estafas BEC siguen el mismo proceso, si bien la identidad que suplanta el ciberdelincuente y las víctimas cambian.
FaseDescripción
1. Documentarse sobre la identidadLos ciberdelincuentes experimentados en ataques para comprometer los correos electrónicos empresariales (BEC) realizan un proceso de documentación exhaustivo sobre el objetivo deseado y determinan qué identidad asumir en función de la acción que quieren provocar. Por ejemplo, si el estafador busca un beneficio prácticamente inmediato, podría simplemente crear una cuenta de correo electrónico muy similar a la del director ejecutivo u otro directivo de la empresa y solicitarle a un empleado que compre y le envíe múltiples tarjetas regalo digitales como "bono" para un equipo interno o como muestra de agradecimiento a un proveedor. Las estafas BEC también pueden ser más complejas. Por ejemplo, un ciberdelincuente podría hacerse pasar por un proveedor nuevo, como puede ser una empresa de gestión de nóminas, y ofrecer una prueba gratuita de sus servicios solo para robar información personal de los empleados o incluso desviar nóminas durante un juicio ficticio.
2. Documentarse sobre el empleadoUna vez que el ciberdelincuente ha escogido su técnica de ataque y la identidad que va a asumir, debe documentarse acerca de sus objetivos. Este proceso puede implicar explorar el sitio web en buscar de información de contacto o identificar el formato de correo electrónico habitual. Asimismo, puede utilizar redes sociales como LinkedIn para buscar nombres y títulos de algunos miembros del equipo, así como sus roles y responsabilidades. Gracias a esta información, el ciberdelincuente puede dirigirse a una persona que haya gestionado solicitudes legítimas similares anteriormente o a empleados que puedan no estar familiarizados con los procedimientos y procesos que se siguen en la empresa.
4. Preparar el ataqueUna vez que ha decidido la identidad y la víctima, el ciberdelincuente prepara otros elementos del ataque. Durante esta fase crea una cuenta de correo electrónico falsificada, publica un sitio web de la empresa falso, abre una cuenta bancaria y genera facturas o cualquier otro recurso que podría necesitar para demostrar la veracidad de su identidad o la solicitud.
4. Iniciar el ataqueEn la fase final, el ciberdelincuente pone en marcha su plan. Este tipo de estafadores utilizarán su identidad digital para manipular o presionar a la víctima para que realice la acción deseada, a menudo transmitiendo una falsa sensación de urgencia para garantizar que la víctima actúe sin comentarlo con otros empleados o analice bien la situación. Si lo consigue, el ataque finalizará con la transferencia de dinero, datos u otro tipo de información al ciberdelincuente.

Tres técnicas de BEC

Este tipo de ciberdelincuentes utilizan una serie de técnicas para llevar a cabo sus ataques. A continuación, te presentamos tres de los métodos más habituales:

  • Suplantación de dominios: la suplantación de dominios es una forma de phishing en la que un ciberdelincuente suplanta la identidad de una persona o empresa conocida con un sitio web o dominio de correo electrónico falso para engañar a las personas y ganarse su confianza. Normalmente, el dominio parece legítimo a simple vista, pero una inspección más exhaustiva revelará que una W es en realidad dos V, o bien que una L minúscula es en realidad una I mayúscula. Se engaña a los usuarios que responden al mensaje o interactúan con el sitio para que revelen información confidencial, envíen dinero o hagan clic en enlaces maliciosos.
  • Ingeniería social: la ingeniería social consiste en manipular a ciertas personas para que realicen la acción deseada, como revelar información confidencial. Los ataques de ingeniería social funcionan porque los humanos pueden verse obligados a actuar por motivaciones poderosas, como el dinero, el amor o el miedo. El adversario aprovecha estas características y ofrece falsas oportunidades para satisfacer esos deseos.
  • Cuentas comprometidas: una cuenta comprometida es una cuenta de correo electrónico o del sistema en la que se ha infiltrado un ciberdelincuente. El hacker puede recurrir a una serie de métodos para comprometer la cuenta, como la ingeniería social, el malware o las herramientas de descifrado de contraseñas. Una vez que se ha hecho con el control, el ciberdelincuente puede hacerse pasar por el usuario y llevar cualquier acción para la que esté autorizado el propietario legítimo de la cuenta.

¿Quién debería permanecer alerta? Víctimas habituales de las estafas BEC

Cualquier empresa puede ser víctima de un ataque BEC. De hecho, muchas pequeñas y medianas empresas son especialmente susceptibles a este tipo de ataques, puesto que a los estafadores les puede resultar más sencillo manipular organizaciones con procesos menos estrictos o cadenas de aprobación cortas. A nivel individual, hay personas que son más propensas a sufrir este tipo de ataques. Algunas de estas personas son:

  • Altos cargos: Los altos cargos no solo ostentan un gran poder y grandes cantidades de información, sino que cuentan con un perfil público destacado. Esto facilita las labores de documentación sobre su trayectoria profesional, sus intereses y afiliaciones, brindándoles a los hackers la oportunidad de hacerse pasar por empleados o contactos profesionales legítimos. En algunos casos, los hackers atacan a altos cargos enviándoles reclamaciones o problemas básicos y solicitando que se derive la solicitud al empleado correcto de la organización. De este modo, el ciberdelincuente contacta directamente con miembros del Departamento Financiero o de RR. HH. y puede utilizarlos como víctimas de ataques futuros.
  • Miembros del equipo financiero: El equipo financiero se encarga de gestionar una serie de procesos, desde el pago a proveedores hasta el ingreso de nóminas. Además, posee una gran cantidad de datos personales e información confidencial. A menudo, los hackers atacan a estos empleados porque sus tareas diarias incluyen procesar pagos, realizar transferencias bancarias, llevar a cabo otras tareas financieras para altos cargos y mantener las bases de datos de cuentas y pagos. Los hackers que consiguen infiltrarse a través de un miembro del equipo financiero pueden llevar a cabo estafas de facturas falsas, solicitar la actualización de los datos de pago del proveedor o incluso desviar nóminas.
  • Responsables de RR. HH.: El departamento de Recursos Humanos es una verdadera mina de oro para muchos hackers. Los ciberdelincuentes pueden atacar a los responsables de RR. HH. en un intento de acceder a la información personal del personal, como su número de afiliación a la Seguridad Social, la información de identificación personal (PII), los recibos de pagos, información de contacto personal y otros tipos de información confidencial. Estos datos se pueden vender en la dark web o utilizarse para llevar a cabo ataques en el futuro.
  • Personal nuevo o con poca experiencia: Otro objetivo habitual de los ataques BEC es el personal que acaba de incorporarse a la empresa o que tiene poca experiencia. El motivo es que, habitualmente, está poco familiarizado con los procesos y procedimientos internos y podría no saber cómo verificar solicitudes inusuales. Además, en el caso del personal recién contratado, es posible que no esté familiarizado con el tipo de solicitudes habituales de la dirección, los canales de comunicación que utilizan ni las personas que deben revisar y verificar las actividades.

Cómo protegerse de las estafas BEC

Los ataques BEC se basan en las relaciones humanas y no en herramientas digitales, como el malware o los virus. Por ese motivo, los ataques BEC son difíciles de detectar y prevenir mediante las herramientas de seguridad tradicionales, como las soluciones antivirus o de detección y respuesta para endpoints (EDR).

Por lo general, los ataques BEC se centran en los humanos, por lo que los métodos de protección y prevención también deben hacerlo. A continuación, presentamos una serie de prácticas recomendadas que se deben tener en cuenta a la hora de defenderse frente a ataques BEC:

1. Implementación de un programa de formación en ciberseguridad sólido para todo el personal.

La primera línea de defensa de una organización frente a los ataques BEC es su personal. Así pues, es fundamental que la organización diseñe un programa de formación en ciberseguridad sólido que incluya módulos específicos sobre las técnicas de ingeniería social. Como parte del programa de formación y para comprobar la efectividad del curso, la organización puede incluir una serie de simulacros.

Algunos de los puntos específicos que se deben tratar en el programa son:

  • Las solicitudes de la directiva que se consideran inusuales, atípicas o inapropiadas, como las solicitudes de información personal sobre un empleado en concreto
  • Los procesos y procedimientos adecuados para realizar transacciones financieras, incluidas las personas autorizadas para realizarlas y el modo de informar a dichas personas de solicitudes realizadas a otro miembro del equipo
  • Los procesos y procedimientos adecuados de gestión de facturas de proveedores, incluso cuando se trata de solicitudes urgentes
  • Ejemplos de cómo los atacantes pueden recurrir al miedo, la intimidación, la confidencialidad o la urgencia para manipular al personal
  • Métodos para identificar suplantaciones de direcciones de correo electrónico o dominios, así como incoherencias en las direcciones a las que se puede responder

Más información

Para obtener más información, consulta nuestra publicación relacionada: Plantilla de formación básica en ciberseguridad para empleados.

Leer: Plantilla de formación básica en ciberseguridad para empleados

2. Implementación de una estrategia Zero Trust

Zero Trust es un paradigma de seguridad por el que los usuarios deben autenticarse y recibir autorización antes de acceder a las aplicaciones y los datos. Este marco combina el uso de distintas soluciones avanzadas, como la autenticación multifactor basada en riesgos, la protección de identidades, la seguridad de endpoints de nueva generación y una tecnología sólida para cargas de trabajo en la nube. De esta forma, se puede verificar la identidad de un usuario o un sistema, otorgarles o denegarles el acceso en un momento concreto y realizar mantenimientos de la seguridad del sistema. Se trata de un aspecto especialmente importante a la hora de prevenir ataques de compromiso de cuentas de correo electrónico, en los que el adversario suplanta la identidad de un usuario legítimo del sistema.

3. Monitorización de la deep web y la dark web en busca de señales de compromiso.

La dark web es el área de Internet donde los usuarios pueden acceder a contenido web no indexado de forma anónima a través de navegadores web especiales, como Tor. Las herramientas de monitorización de la dark web son similares a los motores de búsqueda de la dark web (por ejemplo, Google). Este tipo de herramientas son muy útiles a la hora de encontrar información que se haya robado o filtrado, por ejemplo, contraseñas comprometidas, credenciales filtradas, propiedad intelectual y otros datos confidenciales que se estén compartiendo y vendiendo entre ciberdelincuentes en la dark web.

Más información

Consulta nuestra guía para principiantes sobre las herramientas de monitorización de la dark web para comprender mejor cómo funciona la dark web y la mejor forma de protegerse.

Leer: Herramientas de monitorización de la dark web

4. Creación de un inventario de atacantes que utilizan el BEC como técnica de ataque.

En el caso de las grandes organizaciones que se enfrentan a un alto nivel de riesgo, es recomendable rastrear y analizar a los atacantes que recurren al BEC. Para ello, lo habitual es asociarse con un proveedor de soluciones de ciberseguridad fiable que pueda ayudar a la organización a identificar el universo del adversario y centrarse en los atacantes y las técnicas que tienen más probabilidades de afectar a la organización.

5. Implementación de un plan de respuesta ante incidentes (IR).

La respuesta ante incidentes (IR) consiste en prepararse ante una brecha de datos, detectarla, erradicarla y recuperarse de ella. Los dos marcos de respuesta a incidentes más valorados en el sector fueron diseñados por el Instituto Nacional de Estándares y Tecnología (NIST) y el Instituto de Auditoría SysAdmin, Networking y Seguridad (SANS) de EE. UU. para dar a los equipos informáticos unas bases para construir sus planes de respuesta a incidentes.

Soluciones para ataques BEC y EAC

Como en la mayoría de los ciberataques, la mejor y más importante línea de defensa de una organización contra los ataques BEC y EAC es una plantilla comprometida que cuente con los conocimientos pertinentes y que se mantenga alerta.

A pesar de que los ataques BEC están dirigidos a los humanos, hay algunas medidas que las organizaciones pueden tomar para reducir el riesgo y fortalecer sus sistemas de defensa.

CrowdStrike Falcon® Intelligence Recon es una solución de seguridad que permite a los equipos de seguridad rastrear a adversarios y sus actividades fuera del perímetro de la red. Gracias a esta herramienta, las organizaciones pueden:

  • Monitorizar el mundo clandestino de la ciberdelincuencia
  • Identificar datos confidenciales expuestos
  • Detectar suplantaciones de dominio
  • Asignar, rastrear y gestionar alertas
  • Crear perfiles de adversarios
  • Detectar vectores de ataque externos

CrowdStrike Falcon® Identity Threat Detection es una solución de seguridad que permite detectar con gran precisión amenazas basadas en identidades en tiempo real. Gracias a la IA y a los análisis de comportamientos, ofrece información procesable y detallada que permite detener ataques modernos. Gracias a esta herramienta, las organizaciones pueden:

  • Obtener información y análisis de todas las credenciales
  • Detectar movimientos laterales de cuentas autenticadas
  • Activar la seguridad de Active Directory sin utilizar logs

Thuy Nguyen ocupa el puesto de Senior Product Marketing Manager en CrowdStrike y se centra en Falcon Overwatch, nuestro servicio de Threat Hunting. Anteriormente trabajó en Microsoft, donde fomentó el avance y el liderazgo de pensamiento en IA y aprendizaje automático, específicamente en soluciones de código abierto e IA responsable. Thuy obtuvo un máster en dirección y administración de empresas en la Universidad de Michigan, con especialización en tecnología y marketing. Vive actualmente en Seattle, Washington (EE. UU.).