Instituto Nacional de ciberseguridad. Sección Incibe
Protege tu empresa. Sección empresas

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

BEC: cómo operan los estafadores y cómo detectarlos

Fecha de actualizacion 08/01/2026
Autor
INCIBE (INCIBE)
Fraude BEC

Un ataque Business Email Compromise (BEC), o "Correo Corporativo Comprometido", es una estafa sofisticada en la que los delincuentes tienen acceso a cuentas de correo legítimas dentro de la empresa. Esto les permite enviar mensajes desde una cuenta real, haciéndose pasar por personas de confianza, como directivos o proveedores habituales. Su objetivo es engañar a los empleados para que transfieran dinero o compartan información confidencial.

A diferencia de otros fraudes digitales que requieren programas maliciosos o técnicas avanzadas, los ataques BEC no siempre dependen de malware ni ataques complejos, sino que aprovechan el acceso directo a cuentas legítimas y la confianza en las relaciones laborales para engañar. Esta característica dificulta la detección, porque los correos no solo aparentan ser legítimos por su contenido y estilo, sino que al provenir de cuentas reales, se eliminan las sospechas habituales sobre remitentes falsos o desconocidos.

Una de sus características más peligrosas es la personalización extrema. Los estafadores investigan a fondo la empresa: conocen quién toma decisiones, cómo se redactan los correos, los procedimientos internos e incluso detalles personales como viajes o ausencias. Por lo que los correos fraudulentos suelen tener una apariencia totalmente legítima. Usan el mismo lenguaje que se emplea en la empresa, hacen referencia a proyectos reales.

Otro punto clave es el aprovechamiento de la confianza. Cuando un empleado recibe un correo urgente que parece venir de su jefe o de un proveedor habitual, es poco probable que lo cuestione.
También introducen elementos de urgencia, como "es para cerrar una operación hoy mismo" o "necesito esto antes del mediodía". Esto reduce el margen para pensar o verificar la autenticidad del mensaje.

Los ataques BEC se han multiplicado en los últimos años, en parte porque se adaptan bien al entorno empresarial actual. Con el auge del trabajo remoto, muchas decisiones se toman únicamente por correo electrónico, sin una validación presencial. Esto, sumado a que los atacantes envían correos directamente desde cuentas comprometidas, hace que sea muy difícil para los empleados o incluso sistemas automatizados detectar el fraude. El fraude ya no exige abrir archivos sospechosos ni visitar webs falsas, basta con responder a lo que aparenta ser un correo interno más.

Tipos de BEC

Los ataques BEC adoptan diversas formas, todas centradas en el engaño y la manipulación. A continuación, se describen los tipos más comunes, cómo operan los delincuentes y por qué resultan tan efectivos:

  • Suplantación de directivos (Fraude del CEO). Este es el tipo más común de ataque BEC. Los delincuentes se hacen pasar por el director general, gerente, o algún otro alto ejecutivo de la empresa para solicitar transferencias de dinero urgentes y supuestamente confidenciales.
    El atacante investiga cuándo el directivo estará fuera de la oficina (viajes de negocios, vacaciones, conferencias) y aprovecha esa ausencia para enviar correos electrónicos urgentes a empleados de finanzas o administración. El mensaje típico solicita una transferencia confidencial para cerrar un negocio importante, adquirir una empresa, o resolver un problema legal urgente.
  • Fraude de proveedores. Los atacantes se aprovechan de las relaciones comerciales existentes entre la empresa y sus proveedores habituales. Pueden hacerse pasar por proveedores conocidos o interceptar comunicaciones reales para modificar la información de pago.
    Los delincuentes estudian los patrones de facturación de proveedores reales, crean facturas falsas muy similares a las legítimas, o envían actualizaciones de información bancaria solicitando que los futuros pagos se dirijan a cuentas controladas por ellos.
  • Fraude inmobiliario. Este tipo de ataque se dirige específicamente a transacciones de bienes raíces, aprovechando las grandes sumas de dinero involucradas y la complejidad de estos procesos.
    Los estafadores se infiltran en las comunicaciones entre compradores, vendedores, agentes inmobiliarios y abogados. En el momento crucial del cierre de la transacción, envían instrucciones de transferencia modificadas para redirigir los pagos hacia sus propias cuentas.
  • Modificación de facturas. Los atacantes interceptan facturas legítimas en tránsito y las modifican para cambiar la información de pago, o crean facturas completamente falsas para servicios que nunca se prestaron.
    Los delincuentes pueden comprometer las cuentas de correo de empleados que manejan pagos, o simplemente enviar facturas falsas esperando que se procesen automáticamente dentro de los procedimientos normales de la empresa.
  • Ataques a Recursos Humanos. Los delincuentes se dirigen a los departamentos de recursos humanos para obtener información personal de empleados, como datos fiscales, números de seguridad social, o información salarial.
    Se hacen pasar por altos ejecutivos solicitando información urgente sobre empleados para auditorías, procesos legales, o cambios organizacionales. Esta información puede utilizarse posteriormente para otros fraudes o venderse en mercados ilegales.

Fases del ataque BEC

Las estafas BEC no ocurren de forma improvisada. Son el resultado de un proceso meticuloso dividido en varias fases, donde los atacantes analizan, planifican y ejecutan con precisión cada paso para aumentar sus probabilidades de éxito y reducir el riesgo de ser detectados. A continuación, se detallan estas etapas.

  1. Selección del objetivo. Los delincuentes no eligen sus objetivos al azar. Prefieren empresas que manejan transacciones financieras regulares, tienen múltiples proveedores, o están en procesos de crecimiento o cambio. También buscan organizaciones con información pública abundante sobre su estructura y operaciones.
  2. Investigación profunda. Una vez seleccionado el objetivo, los atacantes dedican semanas o incluso meses a estudiar la empresa. Revisan sitios web corporativos, redes sociales profesionales, comunicados de prensa, y cualquier información pública disponible. Mapean la estructura organizacional, identifican a las personas clave, y estudian cómo se comunican internamente.
  3. Preparación del engaño. Los delincuentes preparan cuidadosamente su estrategia de ataque. Esto puede incluir crear direcciones de email muy similares a las oficiales, estudiar el estilo de comunicación de los ejecutivos, o incluso comprometer cuentas de correo reales de empleados o proveedores.
  4. Construcción de confianza. Antes de realizar la solicitud fraudulenta, los atacantes suelen establecer un patrón de comunicación normal. Pueden enviar varios correos electrónicos aparentemente inocuos para confirmar que sus mensajes llegan correctamente y que la víctima responde con normalidad.
  5. Ejecución del fraude. Cuando consideran que el momento es propicio, los delincuentes ejecutan su plan. Esto generalmente implica una solicitud urgente de transferencia de dinero, cambio de información bancaria, o petición de información confidencial. Aprovechan momentos de presión o ausencias de personal clave para reducir las posibilidades de verificación.
  6. Ocultación y escape. Después de ejecutar el fraude, los atacantes intentan mantener el engaño el mayor tiempo posible para evitar que se descubra prematuramente. Pueden continuar la comunicación fingiendo normalidad, o implementar técnicas para ocultar las evidencias de su actividad.

Cómo prevenir los BEC

Prevenir los ataques BEC requiere mucho más que soluciones tecnológicas. Es imprescindible establecer políticas internas sólidas, promover una cultura organizativa basada en la verificación y asegurar la formación continua del personal implicado en la gestión de información sensible y transacciones financieras.

  • Verificación obligatoria. La medida más efectiva contra los ataques BEC es establecer procedimientos obligatorios de verificación para cualquier solicitud financiera o de información sensible. Esto significa que, sin excepción, cualquier petición de transferencia de dinero debe confirmarse a través de un canal de comunicación diferente al correo.
  • Políticas de aprobación múltiple. Ninguna transferencia financiera significativa debe ser autorizada por una sola persona basándose únicamente en un mensaje. Establecer sistemas donde las decisiones financieras importantes requieran la aprobación de al menos dos personas diferentes.
  • Validación de cambios en información bancaria. Cualquier solicitud de cambio en datos bancarios de proveedores debe ser tratada con especial cuidado. Establecer un período de espera obligatorio y verificación a través de canales alternativos antes de procesar pagos a cuentas modificadas.
  • Educación y concienciación del personal. Realizar capacitaciones regulares donde se expliquen los diferentes tipos de ataques BEC con ejemplos reales. Es fundamental que todos los empleados, especialmente aquellos en finanzas, administración, y recursos humanos, comprendan estas amenazas.
  • Cultura de verificación. Crear un ambiente organizacional donde sea completamente normal y aceptable cuestionar solicitudes inusuales, incluso si aparentemente provienen de superiores jerárquicos. Los empleados deben sentirse seguros al verificar solicitudes sin temor a repercusiones.
  • Protección de información pública. Limitar la cantidad de información organizacional que se publica en sitios web corporativos y redes sociales. Evitar publicar organigramas detallados, información sobre viajes de ejecutivos, o detalles sobre procesos internos que puedan ser utilizados por atacantes.
  • Monitoreo y detección temprana. Establecer alertas para transacciones inusuales, comunicaciones desde direcciones similares, pero no idénticas a las oficiales, y solicitudes que no siguen los procedimientos habituales de la empresa.
  • Plan de respuesta a incidentes. Tener procedimientos claros sobre qué hacer cuando se detecta un posible ataque BEC, incluyendo a quién contactar inmediatamente, cómo preservar evidencias, y cuándo notificar a las autoridades correspondientes.

En el caso de haber sufrido un fraude BEC, en la sección “Te Ayudamos” del área de Empresas de INCIBE, tenemos una sección completa dedicada al ‘Fraude email comprometido’ en la que te explicamos cómo reportar el incidente, cómo denunciarlo, cómo comunicar la brecha de datos y cómo puedes recuperarte.

Y recuerda que puedes contactar con nosotros a través de la Línea de Ayuda en Ciberseguridad de INCIBE (017), los canales de mensajería instantánea de WhatsApp (900 116 117) y Telegram (@INCIBE017), o el formulario de contacto (seleccionando la opción de usuario de empresa o profesional) que encontrarás en nuestra web. Expertos en la materia resolverán cualquier conflicto online relacionado con el uso de la tecnología y los dispositivos conectados, todos los días del año en horario de 8 de la mañana a 11 de la noche de forma gratuita y completamente confidencial.
 

Tu Ayuda en Ciberseguridad. Servicio gratuito y confidencial, disponible de 08:00 am a 11:00 pm los 365 días del año. Teléfono 017.
 

Etiquetas