Fraude del CEO o Compromiso de Correo Electrónico Empresarial (BEC): Qué es y cómo prevenirlo

El Fraude del CEO, también conocido como Business Email Compromise (BEC), ya afecta a más de 400 empresas diariamente en todo el mundo.

E

ste tipo de estafa, que ahora ha alcanzado niveles epidémicos, no solo pone en riesgo las finanzas de las empresas, sino también su reputación. Con casi el 40% de las víctimas siendo pequeñas y medianas empresas, el impacto en el crecimiento económico global es alarmante, generando pérdidas acumuladas de 3 mil millones de dólares en los últimos tres años, según un estudio de Symantec. 

 El Fraude del CEO es uno de los esquemas más sofisticados y dañinos a los que se enfrentan las compañías. Tiene como objetivo engañar a los empleados para que realicen transferencias de dinero o compartan información confidencial, bajo la creencia de que cumplen órdenes legítimas. A continuación, exploraremos cómo funciona este fraude, los indicadores de alerta y las mejores prácticas para prevenirlo.   

 ¿Qué es el Fraude del CEO/BEC?   

El Fraude del CEO o Compromiso de Correo Electrónico Empresarial (Business Email Compromise, BEC) es una táctica de ingeniería social donde los ciberdelincuentes se hacen pasar por altos ejecutivos, como el CEO o CFO, para manipular a empleados, especialmente en departamentos financieros, a realizar acciones perjudiciales para la empresa.   

Los atacantes estudian a sus objetivos mediante redes sociales, sitios web corporativos o fuentes públicas para recopilar información sobre estructuras jerárquicas y procedimientos internos.   

Con estos datos, crean correos electrónicos falsos que imitan la identidad de un ejecutivo y solicitan, con urgencia, acciones como:   

• Transferencias de dinero para «facturas vencidas».   

• Compartir datos confidenciales, como listas de clientes o credenciales de acceso.   

• Para aumentar la credibilidad, incluyen detalles aparentemente legítimos, como nombres reales o direcciones válidas y redactan conversaciones enteras que pueden enmarcarse en una relación profesional. 

Por ejemplo, un empleado podría recibir un correo que aparenta ser real pidiendo transferir fondos a una cuenta externa para saldar un supuesto pago atrasado. En ocasiones, el CEO puede ser la víctima, al que los estafadores se dirigen para que realice movimientos económicos a su favor.   

Indicadores de un Fraude del CEO/BEC   

Aunque estas estafas suelen ser muy sofisticadas, hay señales que pueden ayudar a identificar un posible ataque:   

CONTEXTO SOSPECHOSO 

• La solicitud proviene de alguien con quien no se tiene contacto frecuente o con el que no se ha tenido ningún tipo de contacto. 

• El remitente usa un tono formal pero genérico, lo que sugiere un intento de dirigir el correo a múltiples destinatarios.   

URGENCIA ARTIFICIAL   

• Frases como “necesito tu atención inmediata” o “pago urgente por factura vencida” buscan generar presión para que el destinatario actúe sin verificar la legitimidad del correo.   

DATOS REALES PERO IRRELEVANTES   

• Los correos incluyen información válida (como direcciones o nombres de empresas), pero tomada de fuentes públicas. Estos detalles no garantizan la autenticidad del mensaje.   

ADJUNTOS SOSPECHOSOS   

• Archivos con nombres aparentemente legítimos, como facturas o formularios fiscales, podrían contener malware o ransomware.   

DOMINIOS FALSOS   

• Los ciberdelincuentes emplean dominios similares a los legítimos para engañar a los destinatarios. Ejemplo: Un dominio legítimo como example.com podría ser suplantado por example.co o example.biz.   

• Un caso común es el uso de extensiones inusuales, como «.ru.com», que pueden parecer auténticas, pero no tienen relación con el dominio original de una empresa.   

Así se puede prevenir el Fraude del CEO/BEC   

Adoptar medidas preventivas es esencial para proteger a las empresas de este tipo de amenazas. Estas son algunas de las estrategias más efectivas:   

• No interactuar con correos sospechosos. Nunca responder ni descargar archivos de correos electrónicos cuyo origen sea incierto. Si un correo parece legítimo, pero genera dudas, es preferible verificar antes de actuar.   

• Verificar con fuentes oficiales. Si el correo menciona a una empresa o institución, utilizar los canales oficiales (sitio web o contacto telefónico) para confirmar la autenticidad de la solicitud.  

• Análisis técnico. Revisar el encabezado completo del correo para identificar la IP y otros detalles técnicos del remitente. Esto permite confirmar si corresponde al dominio legítimo de la empresa supuestamente involucrada.   

• Notificar al equipo de ciberseguridad. Informar inmediatamente al departamento de IT sobre correos sospechosos. Esto ayuda a tomar medidas preventivas para proteger a toda la organización.   

• Capacitación y sensibilización. Realizar sesiones periódicas de formación en ciberseguridad para que los empleados estén alertas frente a este tipo de estafas. Difundir ejemplos prácticos de correos falsos para que el personal aprenda a identificarlos.   

Con Nigeria, Estados Unidos y Reino Unido copando los rankings como los principales países de origen de correos fraudulentos, este tipo de ataque refleja su alcance global. El Fraude del CEO/BEC es una amenaza muy seria que pueden causar pérdidas económicas enormes y daños a la imagen de empresas o instituciones financieras. Sin embargo, con medidas preventivas como la capacitación constante, protocolos de verificación estrictos y la notificación temprana de incidentes, es posible minimizar el riesgo.   

En un entorno empresarial cada vez más expuesto a ciberataques, fomentar una cultura de ciberseguridad y adoptar tecnologías de protección es la clave para mantenerse un paso adelante frente a los delincuentes. ¿Están tus sistemas y empleados preparados para identificar y enfrentar estas amenazas?   

Contacte con TrustCloud y conozca nuestra plataforma a prueba de ataques