El suplantación de identidad en el correo electrónico empresarial es uno de los ciberataques más perjudiciales desde el punto de vista económico a los que puede enfrentarse una organización, y uno de los menos conocidos. A diferencia del ransomware, que se manifiesta de forma evidente, el BEC actúa en silencio, a menudo durante semanas o meses, y se aprovecha de la confianza, más que de la tecnología, para robar dinero y datos.
Según el informe «State of the MSP» de Kaseya de 2026, el 44 % de los proveedores de servicios gestionados (MSP) afirma que al menos el 10 % de sus clientes sufrió un ciberataque en 2025, y el BEC es, de forma sistemática, uno de los tipos de ataque más habituales y costosos detrás de esos incidentes.
El Centro de Denuncias de Delitos en Internet (IC3) del FBI clasifica sistemáticamente el BEC como una de las categorías de ciberdelitos más costosas. El FBI ha titulado su aviso sobre el BEC «La estafa de los 55 000 millones de dólares», en referencia a las pérdidas globales acumuladas entre octubre de 2013 y diciembre de 2023. En 2024, las denuncias de BEC dieron lugar a pérdidas ajustadas de 2770 millones de dólares solo en EE. UU., con 21 442 incidentes denunciados. El ataque funciona porque es engañosamente sencillo: sin malware, sin cifrado, sin vulnerabilidades técnicas, solo un correo electrónico convincente de alguien en quien confías.
Detén los ataques BEC antes de que te salgan caros
Kaseya INKY cada correo electrónico comparándolo con los patrones de comunicación de su organización, detectando los intentos de suplantación de identidad y las solicitudes anómalas que eluden los filtros tradicionales.
¿Qué es el suplantación de identidad en el correo electrónico empresarial?
El BEC es un tipo de ataque fraudulento en el que un atacante utiliza un correo electrónico de apariencia legítima —procedente de una cuenta comprometida, un dominio falsificado o un contacto suplantado— para engañar a una persona con autoridad financiera o sobre datos y que esta realice una acción perjudicial. Esa acción suele consistir en un pago fraudulento, una transferencia de datos confidenciales o la revelación de credenciales que permita un acceso posterior.
Lo que distingue al BEC del phishing convencional es su enfoque y su objetivo. El phishing masivo lanza una amplia red para obtener credenciales. El BEC se centra en personas concretas de una organización específica y está diseñado para generar beneficios económicos inmediatos, normalmente mediante transferencias bancarias, la compra de tarjetas regalo, el desvío de nóminas o la modificación de los datos de las cuentas de pago.
El BEC se denomina a veces «compromiso de cuentas de correo electrónico» (EAC) cuando el ataque implica el compromiso real de una cuenta auténtica, en lugar de suplantación de identidad o falsificación. Ambos términos describen la misma categoría de amenaza y el mismo riesgo financiero.
Cómo funcionan los ataques BEC
Los ataques BEC siguen un enfoque estructurado. En primer lugar, los atacantes investigan la organización objetivo e identifican al personal clave de los departamentos de finanzas, contabilidad, recursos humanos y la alta dirección a través de LinkedIn, los sitios web de la empresa y las redes sociales. A continuación, trazan un mapa de las relaciones: quién depende de quién, quién aprueba los pagos y quién tiene autoridad para modificar los datos de pago.
El acceso inicial puede producirse mediante un ataque de phishing que comprometa una cuenta de correo electrónico real, o mediante la suplantación de dominio, que crea una dirección de correo electrónico visualmente similar a la auténtica (por ejemplo, [email protected] en lugar de [email protected]). Una vez dentro de una cuenta legítima, los atacantes suelen vigilar el correo electrónico de forma silenciosa durante semanas, analizando los patrones de comunicación, los acuerdos en curso y el estilo de redacción de la persona suplantada antes de poner en marcha el fraude.
El ataque en sí suele consistir en un único correo electrónico enviado en el momento oportuno: «Por favor, actualiza los datos de la cuenta bancaria para la factura de Smith con los siguientes datos» o «¿Puedes tramitar urgentemente una transferencia bancaria para esta adquisición? Estoy en reuniones todo el día». La combinación de una aparente autoridad, la urgencia y un contexto específico hace que la solicitud resulte verosímil. El lapso de tiempo que transcurre entre el envío del correo electrónico y el descubrimiento del fraude suele ser suficiente para que los fondos se transfieran sin posibilidad de recuperación.
Los cinco escenarios del BEC
El FBI identifica cinco tipos principales de ataques BEC:
El fraude del «CEO» consiste en suplantar la identidad de un alto directivo para presionar a un empleado a fin de que realice una transferencia fraudulenta o revele información confidencial. La solicitud suele llegar cuando el directivo se encuentra de viaje o no está disponible para verificarla.
El secuestro de una cuenta consiste en el control indebido de una cuenta de correo electrónico empresarial que se utiliza para solicitar pagos fraudulentos a proveedores o clientes del titular de dicha cuenta. A diferencia de la suplantación de identidad, el correo electrónico procede realmente de la cuenta auténtica.
Esta estafa de facturas falsas consiste en suplantar la identidad de un proveedor y solicitar el pago a una nueva cuenta bancaria, interceptando así un pago real que se esperaba recibir.
La suplantación de identidad de un abogado consiste en hacerse pasar por un asesor jurídico para exigir información confidencial o un pago urgente en relación con un asunto legal pendiente, aprovechándose de la dinámica de autoridad propia de la relación jurídica.
El robo de datos se centra en los departamentos de recursos humanos o finanzas con el fin de obtener registros fiscales de los empleados, información sobre nóminas o datos personales. A menudo, esto constituye un paso previo a otros fraudes o al robo de identidad, más que a una transferencia económica inmediata.
Por qué es tan difícil detectar el BEC
El BEC elude la mayoría de los controles de seguridad tradicionales, ya que se basa en la ingeniería social en lugar de en el malware. Los filtros de seguridad del correo electrónico no detectan un mensaje procedente de una cuenta legítima que haya sido comprometida. Ningún archivo adjunto ni enlace malicioso activa la protección de los dispositivos finales. La comunicación parece, en todos los sentidos técnicos, un correo electrónico empresarial normal.
El reto de la detección es de carácter conductual: reconocer que una solicitud no se ajusta al proceso empresarial habitual, que la urgencia es inusual o que una modificación en las instrucciones de pago se recibe a través de un canal atípico. Se trata de valoraciones humanas, no técnicas, y por eso el BEC sigue siendo eficaz incluso en entornos técnicamente sofisticados.
El BEC potenciado por IA está complicando aún más las cosas. Los atacantes utilizan ahora la IA para generar mensajes que imitan con precisión el estilo de redacción de una persona, basándose en el contexto real de los hilos de correo electrónico que han vigilado. Los indicios que antes un lector atento podría haber detectado —como expresiones ligeramente inusuales o un lenguaje genérico— están cada vez más ausentes en los intentos actuales de BEC.
Cómo protegerse contra el BEC
Autenticación del correo electrónico. Las políticas DMARC, DKIM y SPF evitan la suplantación de dominios. Una política DMARC configurada para rechazar mensajes impide que los atacantes envíen correos electrónicos que parezcan proceder de su dominio. Esto aborda el vector de suplantación de identidad, pero no el de compromiso de cuentas, por lo que son necesarios controles en varias capas.
Seguridad del correo electrónico basada en inteligencia artificial. Soluciones como Inky, incluida en Kaseya 365 , utilizan la inteligencia artificial para analizar los patrones de comunicación por correo electrónico y señalar anomalías: mensajes de nuevos remitentes que se hacen pasar por directivos, solicitudes que se desvían de los patrones de comunicación habituales o características que coinciden con perfiles conocidos de estafas BEC. A diferencia de los filtros basados en firmas, el análisis de comportamiento detecta solicitudes inusuales en su contexto, incluso cuando proceden de fuentes que parecen legítimas.
Controles de procesos para las transacciones financieras. La defensa más eficaz contra el fraude de pagos mediante BEC es un control de procesos realizado por personas: una verificación fuera de canal por teléfono a un número conocido, no al que figura en el correo electrónico sospechoso, antes de ejecutar cualquier modificación en las instrucciones de pago o una transferencia bancaria de cuantía elevada. No se deben realizar autorizaciones exclusivamente por correo electrónico para transacciones financieras que superen un umbral definido.
Formación de los empleados. El personal de finanzas y los asistentes ejecutivos, principales objetivos del BEC, necesitan formación específica sobre los escenarios del BEC y los procedimientos de verificación que deben seguir cuando reciben solicitudes de pago inusuales. La formación general sobre concienciación frente al phishing no abarca las estrategias específicas del BEC que utilizan los atacantes.
Supervisión de la dark web. Las credenciales comprometidas que permiten el secuestro de cuentas mediante BEC suelen aparecer en foros de la dark web antes de que los atacantes las utilicen. Dark Web ID, disponible a través de Kaseya, supervisa continuamente las credenciales de su dominio y proporciona alertas tempranas que permiten restablecer las contraseñas antes de que se produzcan abusos de las cuentas.
Autenticación multifactorial (MFA) en todas las cuentas de correo electrónico. El suplantación de identidad mediante BEC requiere acceso a la cuenta comprometida. La MFA impide que el robo de credenciales permita dicho acceso. Aunque un atacante consiga la contraseña mediante phishing o credential stuffing, no podrá iniciar sesión sin el segundo factor.
Descubre cómo Kaseya 365 combate el BEC mediante la seguridad del correo electrónico basada en IA y la supervisión de la dark web.
Puntos clave
- El BEC es una de las categorías de ciberdelincuencia que más pérdidas económicas genera, ya que provoca daños por valor de miles de millones de dólares al año a través del fraude, más que mediante la explotación de vulnerabilidades técnicas. La cifra acumulada del FBI entre 2013 y 2023 asciende a 55 000 millones de dólares.
- El BEC elude los controles técnicos de seguridad porque utiliza cuentas de confianza o suplantaciones de identidad convincentes, en lugar de malware o archivos adjuntos maliciosos.
- Las defensas más eficaces combinan controles técnicos (DMARC, seguridad del correo electrónico basada en IA, autenticación multifactorial) con controles de procesos (verificación fuera de banda para transacciones financieras) y una formación específica para los empleados.
- La inteligencia artificial está dificultando la detección del BEC al generar suplantaciones de identidad que se ajustan perfectamente al contexto. La detección requiere cada vez más el reconocimiento de anomalías en el comportamiento, en lugar del análisis de contenidos.
