Hay una empresa mediana en Bogotá que transfirió 240.000 dólares a una cuenta bancaria en el extranjero porque alguien en el departamento de finanzas recibió un correo del "CEO" pidiendo agilizar un pago urgente y confidencial. El CEO estaba en la oficina de al lado. El correo era falso. El dinero nunca volvió. Esta no es una anécdota aislada: el Business Email Compromise (BEC) generó pérdidas de 2.700 millones de dólares en 2022 según el FBI Internet Crime Report, y LATAM figura entre las regiones de mayor crecimiento en este tipo de fraude.

El correo electrónico es la herramienta de comunicación más utilizada en el mundo empresarial y, por eso mismo, el vector de ataque favorito del ecosistema criminal digital. Según datos de PhishMe, el 91% de los ciberataques empieza con un mensaje en la bandeja de entrada. No con exploits de zero-day, no con malware sofisticado: con un correo que alguien abre porque parece legítimo. La seguridad de correo electrónico no es un problema técnico menor. Es la primera línea de defensa de cualquier organización que tenga empleados con acceso a internet.

El email nunca fue diseñado para este mundo

El protocolo SMTP que mueve el correo electrónico global data de 1982. En esa época, internet era una red académica de confianza mutua y nadie había imaginado un ecosistema donde actores criminales organizados enviarían millones de mensajes fraudulentos diarios. El diseño original no contemplaba autenticación, ni verificación de remitente, ni cifrado. Solo transmisión.

Décadas después, ese legado sigue siendo un problema estructural. La mayoría de los ataques por correo explotan precisamente esa fragilidad original: es relativamente sencillo falsificar un remitente, construir un mensaje que parezca provenir de alguien de confianza y esperar a que alguien haga clic.

Las amenazas que utilizan el correo como vector evolucionan, pero sus categorías se mantienen:

• Phishing masivo: mensajes a gran escala que imitan entidades bancarias, plataformas de pago o servicios de nube. La tasa de éxito es baja por usuario, pero con millones de destinatarios basta con un pequeño porcentaje de clics.
• Spear phishing: ataques dirigidos a personas específicas dentro de una organización, con información contextual real (nombre del jefe, proyectos en curso, estilo de comunicación). Mucho más convincentes y con tasa de éxito significativamente mayor.
• BEC: suplantación de directivos o socios para autorizar transferencias o extraer información financiera sensible. No necesita malware: solo credibilidad y un empleado con prisa.
• Malware por adjuntos: archivos PDF, Word o Excel con macros o exploits embebidos que ejecutan código malicioso al abrirse o, en los casos más sofisticados, al previsualizar.

El ataque que no necesita hacker: el BEC y su anatomía

El Business Email Compromise merece atención especial porque no requiere sofisticación técnica para causar daño devastador. El atacante investiga a la empresa, identifica quién autoriza pagos, aprende el tono de comunicación interna y construye un mensaje que encaja en el flujo normal de trabajo. El fraude de Bogotá que abría este artículo siguió ese guión al pie de la letra.

En México, el sector financiero reportó un incremento del 43% en intentos de BEC durante 2023. En Brasil, el volumen de phishing dirigido a empresas creció un 38% en el mismo período, según Kaspersky. Los números en LATAM no son comparables con los de Europa o Norteamérica por una razón sencilla: los marcos regulatorios son más débiles, la capacitación interna en seguridad es más escasa y la madurez de los equipos de respuesta a incidentes, más heterogénea.

La consecuencia es que una región con economías en crecimiento, digitalización acelerada y menor inversión relativa en ciberseguridad se convierte en objetivo preferente para organizaciones criminales que buscan el mejor retorno sobre su esfuerzo de ataque.

Lo que sí puede detener un correo malicioso

La protección efectiva del correo electrónico combina controles técnicos, protocolos de autenticación y cultura organizacional. Ninguno funciona solo.

En el plano técnico, tres protocolos son la base mínima de cualquier infraestructura de correo corporativo: SPF (Sender Policy Framework) define qué servidores pueden enviar en nombre de tu dominio; DKIM (DomainKeys Identified Mail) firma criptográficamente cada mensaje; DMARC establece qué hacer con los correos que no pasan esas verificaciones. Implementar los tres reduce drásticamente la capacidad de terceros de suplantar tu dominio.

Sobre esa base técnica, la estrategia completa incluye:

• Autenticación multifactor (MFA) en todas las cuentas: una contraseña comprometida no basta para que el atacante acceda. Es el control con mejor relación costo-impacto en seguridad de correo.
• Filtros de contenido y sandboxing de adjuntos: los archivos sospechosos se ejecutan en un entorno aislado antes de llegar al destinatario. Los servicios de protección avanzada de endpoint incluyen este análisis como parte de la cadena de defensa.
• Cifrado TLS en las comunicaciones: evita la interceptación en tránsito. Es estándar en proveedores modernos, pero debe verificarse activamente en integraciones con servidores externos.
• Capacitación periódica y real: las simulaciones de phishing internas, donde el equipo de seguridad envía correos falsos para medir la tasa de clics, son más efectivas que cualquier presentación de concienciación. Lo que no se practica no se internaliza.

El factor humano no se soluciona con tecnología. Se trabaja con consistencia, con ejemplos reales y con una cultura donde reportar un correo sospechoso no sea incómodo sino esperado.

El correo es un síntoma, no el problema

La tendencia en seguridad empresarial avanza hacia arquitecturas que asumen que cualquier mensaje puede ser malicioso: verificación de remitente en cada interacción, análisis de comportamiento para detectar patrones anómalos, alertas automáticas ante solicitudes inusuales de pagos o accesos.

Mientras tanto, el correo electrónico seguirá siendo el canal más explorado por los atacantes porque es donde las personas bajan la guardia. Es la bandeja de entrada, no el firewall. Es el entorno familiar, no el sistema desconocido.

¿Cuántos correos ha abierto tu equipo hoy sin verificar el remitente real? No el nombre que aparece en pantalla, sino la dirección completa detrás del nombre. La respuesta honesta a esa pregunta ya dice bastante sobre el estado de tu seguridad de correo electrónico.