Eduardo recibió una llamada de su director administrativo. Un proveedor en el extranjero solicitaba el pago de una factura vencida. La factura había sido pagada hacía meses, justo después de que el mismo proveedor notificara un cambio de cuenta bancaria. Al revisar la operación, el pago se había realizado a un tercero, basado en un correo que parecía legítimo. El dinero había desaparecido.
El fraude tipo Business Email Compromise (BEC) o compromiso de correo electrónico corporativo es una de las amenazas más costosas y difíciles de detectar en el mundo corporativo. A diferencia de otros ataques cibernéticos que dependen de código malicioso o vulnerabilidades técnicas, el BEC se basa en la manipulación y el engaño, explotando la confianza dentro de la organización. Su éxito radica en la capacidad de los atacantes para suplantar identidades de alto nivel, manipular empleados y desviar fondos sin levantar sospechas hasta que es demasiado tarde.
Estos ataques suelen comenzar con el acceso no autorizado a una cuenta de correo electrónico corporativa o con la suplantación de un alto ejecutivo o proveedor confiable. Los atacantes estudian los hábitos de comunicación de la empresa, analizan las interacciones clave y eligen el momento preciso para enviar un correo que parece legítimo. Solicitan una transferencia urgente, un cambio en los datos bancarios de un proveedor o acceso a información confidencial. A simple vista, el correo parece auténtico: utiliza el mismo tono, estructura y firma de la persona suplantada. Incluso puede incluir información interna que hace que la solicitud parezca verídica. En la prisa del día a día, sin una validación adecuada, el engaño se consuma.
Un fraude BEC no ocurre de la noche a la mañana. Requiere de preparación, paciencia y un conocimiento detallado de la empresa atacada. Puede comenzar con un correo de phishing que roba credenciales de un empleado clave, con accesos no autorizados a cuentas de correo o simplemente con el análisis de información pública sobre la organización, como nombres de ejecutivos y proveedores. También ocurre cuando las cuentas de correo no tienen protecciones adecuadas, como autenticación multifactor, lo que permite a los atacantes acceder a las cuentas y operar sin ser detectados.
En muchos casos, el atacante ya lleva tiempo dentro del sistema de correo de la empresa. Obtuvo credenciales de una filtración previa en internet, donde un colaborador utilizó la misma contraseña en varios servicios. Con esa información, accedió al correo sin alertar a nadie y esperó el momento adecuado para interceptar o modificar conversaciones clave. Los colaboradores confían ciegamente porque el mensaje proviene de una cuenta legítima.
Cuando una empresa sufre un fraude BEC, la reacción inmediata suele ser enfocarse en la pérdida financiera y en evitar que el daño crezca. Sin embargo, el error más grave es no investigar a fondo cómo ocurrió el ataque. Sin una investigación detallada, la empresa queda vulnerable a que la misma táctica se repita con otro empleado, proveedor o directivo. Aún más preocupante es que, en muchos casos, las organizaciones no tienen certeza de si el atacante sigue dentro del sistema de correo electrónico, observando correos y esperando el próximo momento oportuno para atacar de nuevo.
La reacción ante un BEC debe tener dos enfoques: investigar y corregir. Investigar el incidente no solo es una medida correctiva, sino una estrategia de prevención. Identificar el origen del ataque permite detectar qué cuentas fueron comprometidas, cómo se obtuvo acceso, qué fallas existen en los procesos de validación y qué señales de advertencia se pasaron por alto. Sin esta información, es solo cuestión de tiempo para que la empresa sea víctima de nuevo.
Corregir implica tomar acciones en dos niveles. Primero, en la parte técnica, reforzando la configuración del sistema de correo para detectar intentos de suplantación, bloquear accesos sospechosos y mejorar los controles de autenticación. Sin embargo, las empresas no pueden confiar únicamente en la tecnología para resolver este problema. También es necesario corregir los procesos internos, especialmente aquellos relacionados con la validación de cambios en cuentas bancarias y la autorización de transferencias.
Estos fraudes no se pueden prevenir con una única acción, pero hay medidas que reducen significativamente la posibilidad de que ocurran. Más allá de la tecnología, lo más importante es revisar y fortalecer los procesos internos. Las empresas deben establecer controles que exijan validar cualquier cambio en cuentas bancarias o solicitudes de transferencia a través de múltiples canales. Tener un sistema de correo bien configurado es fundamental, asegurando que solo personal autorizado pueda gestionar cambios en las comunicaciones empresariales. Además, implementar autenticaciones adicionales que eviten accesos no autorizados puede hacer una gran diferencia. El simple hecho de contar con autenticación multifactor (MFA) en el correo electrónico podría haber evitado que el atacante tomara control de una cuenta y se hiciera pasar por un directivo.
La capacitación constante dentro de la organización juega un papel crucial. No basta con tener tecnología avanzada si los empleados no son capaces de detectar señales de advertencia. Los equipos financieros, de administración y de liderazgo deben estar entrenados para cuestionar solicitudes inusuales, validar cambios de información financiera y reportar actividades sospechosas sin temor a represalias. Aquí es donde las campañas de ingeniería social son clave, donde se envían correos de phishing controlados para evaluar quiénes caen en la trampa y quiénes no. Mantener a los colaboradores alerta es la mejor defensa contra estos fraudes.
Las empresas deben asumir que los intentos de fraude BEC seguirán ocurriendo y, por lo tanto, deben asegurarse de que sus procesos y controles evolucionen continuamente. Tener claridad sobre qué hacer en caso de que suceda un ataque, cómo reaccionar y qué medidas tomar después de un intento fallido es tan importante como evitar que ocurra. Las organizaciones que no investigan ni fortalecen sus controles después de un incidente están destinadas a ser víctimas nuevamente. En un mundo donde la confianza es explotada por los atacantes, solo aquellas empresas que cuestionan, validan y previenen estarán realmente protegidas.
Contacto:
Correo: [email protected]
LinkedIn: https://www.linkedin.com/in/andresvelazquez/
Las opiniones expresadas son sólo responsabilidad de sus autores y son completamente independientes de la postura y la línea editorial de Forbes México.
Sigue la información sobre los negocios y la actualidad en Forbes México
