El BEC es hoy uno de los fraudes más costosos para las empresas en América Latina, y la mayoría lo está clasificando en el lugar equivocado del organigrama.
Cuando una empresa pierde dos millones de dólares por un correo falso, la primera reacción de la alta administración es buscar al responsable. ¿Fue el área de tecnología? ¿El equipo de finanzas? ¿El empleado que procesó el pago? Lo que sigue, casi siempre, es una instrucción hacia el área legal para que “atienda el tema”, con la esperanza de recuperar el dinero por la vía judicial o al menos documentar el incidente. Es una reacción comprensible. Y en la mayoría de los casos, llega tarde y resuelve poco.
Cada par de meses nos llaman a participar en ese tipo de juntas. El área de tecnología presenta el incidente, finanzas explica que siguió el proceso establecido y legal comienza a explorar opciones de denuncia. El dinero ya salió, y lo que queda es una sala llena de personas que buscan con la mirada a alguien que levante la mano. Nadie lo hace, porque la responsabilidad está repartida entre todos y en ese momento no le pertenece a nadie con claridad.
El fraude por correo electrónico corporativo, conocido como BEC por sus siglas en inglés (Business Email Compromise), no requiere vulnerar servidores centrales ni desplegar código malicioso. Requiere algo mucho más accesible: infiltrar el correo electrónico de alguno de los actores en una transacción, ya sea del lado del cliente, del proveedor, o incluso desde adentro de la propia organización, monitorear conversaciones durante días o semanas, entender el contexto de una operación en curso, y en el momento oportuno intervenir con una instrucción que nadie cuestiona porque parece venir de donde siempre ha venido.
El patrón que más vemos es el de pago a proveedor en el extranjero. Hay una relación comercial establecida, una transacción en proceso, y en algún punto del intercambio llega un mensaje solicitando que el pago se realice a una cuenta distinta, con una justificación razonable y un tono que replica perfectamente al contacto de siempre. El dinero se transfiere, y cuando se descubre el fraude ya pasaron días.
En algunos casos, si el dinero todavía está en tránsito y el banco intermediario decide colaborar, es posible detener la operación. Pero no es la regla. En la mayoría de los casos se perdió, porque fue una transferencia autorizada, ejecutada por personas con facultades legítimas, siguiendo un proceso que nadie cuestionó.
Y cuando el origen del fraude es interno, el daño va más allá del dinero. Toca la confianza, los procesos de control y la cultura de la organización de una manera que es mucho más difícil de reparar. En ese momento se desconfía de todos.
Te interesa: El protagonismo de la IA Física en enero anticipa una nueva era para el fraude en retail
Roberto es director financiero de una empresa mediana. Hace unos meses nos contactaron después de que su organización había transferido una cantidad importante a una cuenta en el extranjero después de que su proveedor le pidió cambiar la cuenta destino. Lo primero que me dijo fue que todos los controles estaban en orden, que el proceso se había seguido al pie de la letra. Y tenía razón. El problema no era el proceso. Era que alguien había estado dentro del correo electrónico del responsable de cuentas por pagar durante semanas, leyendo cada conversación, esperando el momento exacto para intervenir.
Lo que encontramos al investigar ilustra algo que vale la pena decirlo sin rodeos. La organización había hecho bien la tarea en materia de ciberseguridad: todos los colaboradores contaban con autenticación de múltiples factores en el correo electrónico, el mecanismo que impide que alguien acceda a una cuenta, aunque tenga la contraseña.
Todos, excepto un par de directivos.
Uno de esos directivos usaba la misma cuenta corporativa y su respectiva en un sitio de internet que había sido vulnerado anteriormente, algo personal. Esa cuenta de correo y contraseña estaba disponible para quien supiera dónde buscarla. La puerta estaba abierta y nadie lo sabía.
¿Usas tu correo corporativo para registrarte en sitios personales, plataformas de streaming o cualquier servicio que no sea de trabajo? Si la respuesta es sí, vale la pena reconsiderarlo. Cuando ese sitio es vulnerado, la contraseña queda expuesta, y si es la misma que usas en tu cuenta corporativa, el problema ya no es solo tuyo. La protección del correo electrónico tampoco puede tener excepciones por jerarquía. Un directivo con acceso a información sensible y operaciones financieras es exactamente el perfil que más vale comprometer para quien está del otro lado.
Te recomendamos: Los pagos impulsados por agentes de IA buscan redefinir el e-commerce y la prevención del fraude
Investigar estos casos tampoco es opcional. Siempre hay un correo electrónico comprometido, propio o de la contraparte, y entender cuál fue y desde cuándo es fundamental. No solo para saber qué pasó, sino para saber qué más pudieron haber estado viendo hasta ese momento, qué otras conversaciones fueron expuestas, qué otras operaciones estaban en riesgo. A veces esa investigación también abre la posibilidad de acercarse a la contraparte para coordinar una respuesta o explorar alguna vía de negociación ante la situación.
Sin esa investigación, la organización queda operando a ciegas sobre su propia exposición.
Y entonces vienen las preguntas que más incomodan:
¿Los procesos de autorización de pagos de tu empresa contemplan la posibilidad de que las instrucciones lleguen de correos electrónicos comprometidos?
¿Existe algún mecanismo de verificación independiente del canal digital cuando se trata de cambios en datos bancarios de proveedores en el extranjero?
¿Hay una política que establezca que ningún cambio de cuenta se procesa sin confirmación por un canal distinto al correo? ¿Hay alguien que audite estos procesos?
Estas preguntas no son de tecnología. Son de control financiero, y responderlas es responsabilidad de quienes diseñan y aprueban cómo opera la empresa.
Lo que más llama la atención cuando se atiende uno de estos casos no es la sofisticación del ataque. Es la simplicidad con la que una organización queda expuesta cuando trata este fraude como un problema que le pertenece solo al área de tecnología, en lugar de verlo como lo que es: un riesgo financiero que requiere controles financieros, respaldado por una infraestructura tecnológica que no le facilite el trabajo al defraudador.
Ninguna de las dos partes sola es suficiente.
Si como organización todavía no estamos preparados para este tipo de situaciones, menos lo estaremos cuando alguien se haga pasar por el director general en una videollamada de Zoom o en un audio de WhatsApp generado con inteligencia artificial. Eso ya está pasando.
Y la pregunta ya no será quién autorizó la transferencia.
Será por qué nadie cuestionó que era el director general.
Sobre el autor:
Correo: [email protected]
LinkedIn: https://www.linkedin.com/in/andresvelazquez/
Las opiniones expresadas son sólo responsabilidad de sus autores y son completamente independientes de la postura y la línea editorial de Forbes México.
Síguenos en Google Noticias para mantenerte siempre informado










