En 2019, un ejecutivo de finanzas de una empresa manufacturera japonesa recibió un correo de su CEO autorizando una transferencia urgente de 37 millones de dólares. El correo llegó desde la cuenta correcta, usaba el tono habitual del ejecutivo y mencionaba contexto real de una operación en curso. La transferencia se ejecutó. El dinero desapareció. Toyota tuvo que reconocer públicamente la pérdida semanas después.

No hubo malware. No hubo enlace sospechoso. No hubo adjunto infectado. Solo un correo que parecía exactamente lo que decía ser.

Eso es el Business Email Compromise y es precisamente por eso que el FBI lo clasifica como la amenaza de mayor impacto económico del cibercrimen organizado. En 2024, el IC3 documentó 21.442 incidentes con pérdidas de USD 2.77 mil millones, un promedio de más de 129.000 dólares por caso. Esos son solo los incidentes reportados. La cifra real es significativamente mayor.

Por qué el BEC evade todo lo que compraste para protegerte

La mayoría de las inversiones en seguridad de correo electrónico están diseñadas para detectar malware, URLs maliciosas y dominios sospechosos. El BEC no usa ninguna de esas cosas. Opera en el espacio que ningún filtro técnico puede inspeccionar directamente: la confianza entre personas dentro de una organización.

Un correo de BEC bien ejecutado pasa SPF, DKIM y DMARC sin problemas porque proviene de infraestructura legítima, ya sea una cuenta comprometida dentro de la organización o un dominio externo cuidadosamente seleccionado que los filtros de autenticación no cuestionan.

No activa sandboxes porque no tiene payload. No genera alertas de reputación porque el dominio o la cuenta son legítimos. El gateway de correo lo clasifica como comunicación interna normal y lo entrega sin fricción.

Esa es la diferencia estructural con el phishing masivo. El phishing lanza una red amplia con señuelos genéricos. El BEC es lo opuesto: bajo volumen, altamente personalizado, construido sobre inteligencia real de la organización objetivo.

El adversario ha investigado el organigrama, conoce los proyectos en curso, sabe quién aprueba transferencias y cómo se comunica habitualmente el CEO con el CFO. Cuando ejecuta el ataque, el correo no parece sospechoso porque en términos de forma y contexto, no lo es.

La cadena de ataque: lo que ocurre antes de que llegue el correo

El BEC no es un ataque de un solo paso. Es el resultado de un proceso estructurado de varios meses que la mayoría de las organizaciones no detecta hasta que el dinero ya no está.

Fase 1 — Acceso inicial.
El atacante necesita un punto de partida. Las opciones más comunes son credential theft mediante campañas de phishing previas, password spraying contra cuentas sin MFA y abuso de permisos OAuth.

Esta última merece atención especial: un atacante que compromete una cuenta mediante una aplicación OAuth maliciosa mantiene acceso persistente incluso después de que la víctima cambie su contraseña, porque el token OAuth sigue activo. El reset de credenciales — la respuesta de IR más común — no lo expulsa.

Fase 2 — Reconocimiento silencioso.
Una vez dentro, el atacante no actúa inmediatamente. Observa. Estudia los patrones de comunicación, los proyectos en curso, los flujos de aprobación financiera. Crea reglas ocultas en la bandeja de entrada para auto-reenviarse correos relevantes y borrar cualquier respuesta que pueda alertar a la víctima.

Esta fase puede durar semanas o meses. Los grupos más sofisticados documentan el estilo de escritura de los ejecutivos para replicarlo con precisión. Buscan palabras clave como "transferencia", "factura", "urgente" y "confidencial" para entender qué conversaciones son más valiosas para explotar.

Fase 3 — Ejecución.
Cuando el atacante tiene suficiente contexto, ejecuta. Usa una de las variantes probadas del BEC, siempre adaptada a la información que recopiló: menciona proyectos reales, plazos reales, nombres reales.

La solicitud llega en el momento correcto, antes de un cierre de trimestre, durante una fusión, justo cuando el aprobador habitual está de viaje y otro empleado cubre sus funciones.

Las cinco variantes que los atacantes prefieren

1. El fraude del CEO — también llamado whaling, es la más documentada. Un supuesto alto directivo contacta directamente al departamento de finanzas con una solicitud de transferencia urgente y confidencial. La urgencia y la autoridad del remitente inhiben la verificación. El empleado no quiere parecer incompetente cuestionando a su CEO.
2. El fraude de proveedores opera diferente y es más difícil de detectar. El atacante compromete la cuenta de un proveedor real o usa un dominio look-alike casi idéntico, y entra en un hilo de correo existente sobre una factura legítima para redirigir el pago a una cuenta diferente. Porque el contexto es completamente real y el hilo previo es auténtico, la señal de alerta prácticamente no existe.
3. La suplantación de abogados explota el contexto de confidencialidad legal. Un supuesto asesor jurídico contacta a finanzas alegando urgencia relacionada con una fusión, adquisición o proceso regulatorio que requiere un pago inmediato y discreto. La supuesta confidencialidad del proceso jurídico se usa para justificar por qué no se puede verificar por otros canales.
4. El fraude de RRHH apunta a nóminas. Un atacante que se hace pasar por un empleado solicita un cambio de cuenta bancaria para el depósito de su salario. El volumen individual es menor, pero la operación escala fácilmente y los controles de RRHH suelen ser más débiles que los financieros.
5. Las estafas de tarjetas de regalo parecen demasiado simples para ser efectivas, pero el FBI las documenta como una de las variantes de mayor volumen. Un ejecutivo suplantado solicita a un empleado que compre tarjetas de regalo "para un cliente" y comparta los códigos. El monto individual es bajo, la solicitud parece excepcional pero manejable, y el empleado no quiere decepcionar a su superior.

Los casos que demuestran que ninguna organización es demasiado grande

Google y Facebook perdieron combinados más de 121 millones de dólares ante un atacante lituano que se hizo pasar por Quanta Computer, uno de sus proveedores reales de hardware. El atacante creó una empresa falsa con el mismo nombre, fabricó facturas idénticas a las originales y las presentó a los departamentos de cuentas por pagar de ambas compañías durante dos años.

El fraude funcionó porque los controles de verificación de proveedores eran insuficientes para detectar la duplicación.

El caso es particularmente relevante porque Google y Facebook no son organizaciones sin recursos de seguridad. Son dos de las empresas tecnológicas más sofisticadas del mundo.

El BEC no explota vulnerabilidades técnicas, explota procesos de negocio y esos procesos son vulnerables independientemente del presupuesto de seguridad.

Controles que realmente reducen el riesgo

La realidad incómoda del BEC es que los controles técnicos son necesarios pero insuficientes por sí solos. El ataque está diseñado para operar en el espacio donde la tecnología no llega. La defensa efectiva requiere tres capas que funcionan juntas.

Controles de proceso, la capa más importante.

La verificación fuera de banda es el control más efectivo disponible, toda solicitud de cambio de cuenta bancaria o transferencia urgente debe confirmarse por un canal completamente independiente del correo electrónico.

Una llamada a un número previamente verificado, no al número que aparece en el correo de la solicitud. El control dual de pagos aplica el mismo principio: ninguna transferencia significativa debe poder ser iniciada y aprobada por la misma persona. La separación de funciones no es un lujo operativo, es el control más directo contra el BEC.

Controles técnicos para reducir la superficie de ataque.

El MFA con llaves FIDO2/WebAuthn es el único tipo de autenticación multifactor verdaderamente resistente al phishing. Los MFA basados en SMS, notificaciones push y aplicaciones TOTP son vulnerables a interceptación, SIM swapping y relay en tiempo real.

La llave FIDO2 solo responde a desafíos de autenticación del dominio legítimo, haciendo técnicamente imposible que un sitio de phishing la active.

El email authentication con DMARC en modo reject cierra la puerta del domain spoofing externo. Las etiquetas visuales que marcan correos externos evitan que un dominio look-alike pase como interno.

La detección basada en comportamiento correlaciona señales que por sí solas no son alertas, un login desde ubicación inusual + una nueva regla de forwarding + una solicitud de transferencia dentro de 48 horas — en un incidente coherente que un analista puede evaluar.

Controles de personas para el vector que la tecnología no puede parchear.

La capacitación efectiva no es una presentación anual de awareness. Es simulaciones regulares que construyen el reflejo específico de verificar antes de actuar cuando hay urgencia financiera. El aspecto más importante no es que los empleados conozcan las técnicas del atacante, sino que se sientan seguros cuestionando una instrucción que viene de un superior.

Una cultura donde verificar es visto como incompetencia es una cultura vulnerable al BEC. Una cultura donde verificar es visto como responsabilidad es el control más robusto disponible.

Qué hacer cuando el ataque ya ocurrió

La velocidad es el factor determinante en la respuesta. El dinero de una transferencia BEC pasa por múltiples cuentas intermediarias en minutos — típicamente a través de bancos en jurisdicciones sin cooperación efectiva con autoridades locales. La ventana para recuperarlo es de horas, no días.

El primer paso es contactar inmediatamente al banco para solicitar un recall o freeze de la transferencia. Muchos bancos tienen protocolos específicos para fraude de wire transfer, conocerlos de antemano es parte de la preparación, no de la respuesta. Cada hora que pasa reduce la probabilidad de recuperación.

En paralelo, la contención técnica no se limita a cambiar contraseñas. Si la cuenta fue comprometida, hay que revocar todas las sesiones activas y esto es crítico, revisar y revocar todos los tokens OAuth de aplicaciones conectadas. Un atacante que comprometió una cuenta mediante OAuth sigue teniendo acceso después del reset de contraseña hasta que los tokens sean revocados explícitamente.

Hay que revisar las reglas de la bandeja de entrada en busca de forwarding rules y auto-delete rules que el atacante pudo haber creado para mantener visibilidad y cubrir sus huellas.

La documentación del incidente, capturas de pantalla, headers de correo, logs de acceso, registros de transacciones debe preservarse antes de cualquier cambio que pueda sobreescribirla. Es necesaria tanto para la investigación interna como para la denuncia ante autoridades.

¿Cuántos pagos en tu organización pueden ser autorizados y ejecutados por una sola persona sin verificación adicional? Esa cifra define exactamente qué tan expuesto estás al siguiente intento de BEC.