
Compromiso de Correo Electrónico Empresarial (BEC): Señales de Alerta que Todo Empleado Debe Conocer
Escuchar este artículo
Loading...- Por Qué el BEC Está Dejando Secas a las Pequeñas Empresas
- Qué Es Realmente un Ataque de Business Email Compromise
- Cómo Se Ve en la Práctica un Ataque BEC
- Suplantación del CEO
- Fraude de Facturas de Proveedores
- Estafas de Redirección de Nómina
- Suplantación de Abogado o Asesoría Legal
- Señales de Alerta que Su Equipo Debe Reconocer Antes de Actuar
- La Señal de Alerta de Urgencia
- La Señal de Alerta de Secreto
- La Señal de Alerta de Datos de Pago Cambiados
- La Señal de Alerta de una Dirección de Correo “Casi” Correcta
- La Señal de Alerta de una Solicitud Inusual
- Qué Hacer Cuando Algo No Cuadra
- Qué Pueden Hacer Ahora Mismo las Pequeñas Empresas del Condado de Palm Beach
- Establezca una Política de Verificación Verbal
- Configure Autenticación Multifactor en el Correo
- Capacite a Su Equipo Más de Una Vez al Año
- Haga Copias de Seguridad de Sus Datos con Regularidad
- Conclusión Sobre el Business Email Compromise
- ¿Le preocupa su seguridad?
TL;DR: El Compromiso de Correo Electrónico Empresarial (BEC) no es un hackeo técnico. Es una estafa que llega a través de su bandeja de entrada. Los atacantes se hacen pasar por su jefe, sus proveedores o su banco, y luego presionan a alguien de su equipo para que haga una transferencia bancaria o entregue datos sensibles. Esta guía explica exactamente cómo funciona, cómo se ven las señales de advertencia y qué hacer antes de cometer un error muy costoso.
Por Qué el BEC Está Dejando Secas a las Pequeñas Empresas
Déjeme decirle algo que he visto más veces de las que quisiera contar. Un dueño de una pequeña empresa entra a Fix My PC Store, se sienta frente a mí y me dice que acaba de perder $40,000. A veces más. No porque alguien haya vulnerado su servidor. No por alguna pieza exótica de malware. Sino porque alguien de su equipo recibió un correo que parecía venir del jefe y envió el dinero sin levantar el teléfono primero.
Eso es business email compromise. Y en 2026, sigue siendo la causa número uno de pérdidas financieras por ciberdelito para empresas de todos los tamaños. El FBI ha rastreado pérdidas de miles de millones al año en todo Estados Unidos, y la guía de Microsoft para protegerse del phishing y del fraude por correo electrónico deja claro que esto no se va a desacelerar pronto.
Aquí en el condado de Palm Beach, las pequeñas y medianas empresas son objetivos ideales. A los atacantes les encantan las compañías por las que circula dinero real, pero que no cuentan con un equipo dedicado de seguridad de TI vigilando la puerta. Si eso suena como su empresa, siga leyendo.
Qué Es Realmente un Ataque de Business Email Compromise
La gente escucha "ciberataque" e imagina a un tipo con sudadera con capucha tecleando frenéticamente en un cuarto oscuro. Las estafas BEC no son eso. Son ataques de ingeniería social. Que es una forma elegante de decir que alguien le mintió de manera muy convincente por correo electrónico.
El atacante primero hace su tarea. Revisa el sitio web de su empresa, su LinkedIn, sus redes sociales. Identifica quién es el CEO, quién maneja cuentas por pagar, quiénes son sus proveedores. Luego redacta un correo que parece completamente legítimo, hasta el bloque de firma y el tono de voz.
Sin virus. Sin adjunto malicioso (por lo general). Solo una mentira creíble, entregada en el momento correcto, a la persona correcta, con un sentido de urgencia incluido.
En mis tiempos, las estafas llegaban por fax y se notaban a kilómetros. Hoy en día, las falsificaciones están lo suficientemente pulidas como para engañar a personas que deberían saberlo. Eso no es un insulto. Es la realidad de lo buenos que se han vuelto estos ataques.
Cómo Se Ve en la Práctica un Ataque BEC
Hay varias modalidades de esta estafa, y su equipo necesita conocerlas todas.
Suplantación del CEO
Esta es la clásica. Alguien envía un correo que aparenta venir del dueño o del CEO. El mensaje es breve, urgente y le pide a un empleado que haga una transferencia bancaria a una cuenta nueva o que compre tarjetas de regalo de inmediato. El correo podría decir algo como: "Estoy en una reunión y no puedo hablar. Por favor, gestione esta transferencia hoy. No lo comente con nadie más."
Esa última parte — "no lo comente con nadie más" — es la señal. Los ejecutivos legítimos no le piden que mantenga transacciones financieras en secreto frente al resto del equipo.
Fraude de Facturas de Proveedores
El atacante compromete o suplanta la dirección de correo de un proveedor. Le envía al equipo de cuentas por pagar una factura que se ve exactamente igual a las que han pagado durante años. Excepto que el número de ruta bancaria (routing number) ha cambiado discretamente. Su equipo la paga. El dinero va al atacante. Su proveedor real no ve ni un centavo y, eventualmente, lo llama preguntando por qué la factura está vencida.
Para cuando se dan cuenta, el dinero ya no está. Las transferencias bancarias no son como los cargos con tarjeta de crédito. No hay un proceso de disputa. No hay contracargo (chargeback). Simplemente se queda sin el dinero.
Estafas de Redirección de Nómina
Un empleado — o alguien que se hace pasar por uno — envía un correo a RR. HH. o a nómina solicitando actualizar su información de depósito directo antes del próximo ciclo de pago. La nueva cuenta pertenece al atacante. El empleado no cobra. El atacante sí. Esta es especialmente desagradable porque victimiza a su propio personal.
Suplantación de Abogado o Asesoría Legal
Recibe un correo de alguien que afirma ser un abogado que maneja una transacción confidencial. Necesita que usted transfiera fondos o proporcione información financiera con urgencia. El enfoque en la confidencialidad está diseñado para que usted sienta que no puede verificarlo con nadie. Esa combinación de urgencia y secreto es una señal de alerta enorme, siempre.
Señales de Alerta que Su Equipo Debe Reconocer Antes de Actuar
Aquí viene la parte práctica. Imprima esto. Péguelo en la pared junto a la cafetera. No estoy bromeando.
La Señal de Alerta de Urgencia
Cualquier solicitud financiera que tenga que ocurrir ahora mismo, hoy, antes de que usted pueda verificar nada: eso es presión. La presión es una táctica de ventas y una táctica de estafa. Las transacciones comerciales legítimas pueden soportar una llamada telefónica para confirmar.
La Señal de Alerta de Secreto
Si el correo le pide que no comente la solicitud con colegas, su supervisor o cualquier otra persona, deténgase. Punto. Las solicitudes legítimas no vienen con órdenes de silencio.
La Señal de Alerta de Datos de Pago Cambiados
Cualquier factura o solicitud de pago que incluya información bancaria nueva o actualizada debe verificarse por teléfono, usando un número que usted ya tenga registrado, no uno proporcionado en el propio correo. Este simple paso evitaría la mayoría de los casos de fraude de facturas de proveedores que he visto llegar a esta tienda.
La Señal de Alerta de una Dirección de Correo “Casi” Correcta
Mire con atención. No el nombre para mostrar (display name): cualquiera puede configurar el nombre para mostrar como quiera. Mire la dirección real de correo. ceo@yourcompany.com es legítimo. ceo@yourcompany-inc.com no lo es. La diferencia puede ser un solo carácter. Los atacantes cuentan con que usted no lo revise.
La Señal de Alerta de una Solicitud Inusual
Su CFO nunca le ha pedido que compre $500 en tarjetas de regalo de Google Play y envíe los códigos por correo. Si la solicitud le habría parecido extraña hace seis meses, sigue siendo extraña hoy, aunque parezca venir de alguien en quien usted confía.
Qué Hacer Cuando Algo No Cuadra
Aquí está la regla, y quiero que la memorice: verifique por un canal alterno. Eso significa que, si recibe un correo sospechoso, verifique la solicitud usando un canal de comunicación completamente distinto. Llame por teléfono. Camine hasta la oficina de la persona. Envíe un mensaje de texto. No responda al correo para preguntar si es legítimo. Eso es como preguntarle a un desconocido sospechoso si es confiable.
Su equipo también debe entender que no es grosero desacelerar y verificar. No es insubordinación decir: "Solo quiero confirmarlo directamente con usted antes de procesarlo". Cualquier CEO o gerente real lo respetará. Si alguien se enoja porque usted verifica una solicitud de transferencia, esa es información valiosa.
Más allá del factor humano, también necesita defensas técnicas. Nuestros servicios de ciberseguridad para empresas incluyen configuraciones de seguridad de correo electrónico que pueden detectar dominios suplantados antes de que lleguen a su bandeja de entrada. No es una garantía, pero es una posición inicial mucho mejor que no tener ningún filtro.
Y mire: si algo logra pasar y usted hace clic en algo que no debía, hágalo revisar de inmediato. Un equipo comprometido puede usarse para lanzar ataques adicionales desde dentro de su propia red. Nuestro servicio profesional de eliminación de virus y malware existe exactamente para esta situación. No espere y espere que se resuelva solo. No lo hará.
Qué Pueden Hacer Ahora Mismo las Pequeñas Empresas del Condado de Palm Beach
Le voy a dar una lista corta y aburrida de cosas que realmente funcionan. Sin palabras de moda. Sin software empresarial costoso que usted no necesita.
Establezca una Política de Verificación Verbal
Cualquier transferencia bancaria por encima de una cantidad determinada — usted elige el número, quizá $1,000, quizá $5,000 — requiere confirmación por teléfono usando un número conocido antes de procesarse. Escríbalo. Hágalo oficial. Capacite a su equipo. Y luego aplíquelo sin excepciones.
Configure Autenticación Multifactor en el Correo
Si un atacante no puede entrar a su cuenta de correo, no puede enviar mensajes fraudulentos desde su dirección real. La autenticación multifactor (MFA) es gratuita en la mayoría de las plataformas y toma veinte minutos configurarla. No hay excusa para no tenerla en 2026.
Capacite a Su Equipo Más de Una Vez al Año
Una sola reunión anual de concientización de seguridad no es capacitación. Es marcar una casilla. La capacitación real significa recordatorios regulares, ejemplos reales y una cultura en la que los empleados se sientan cómodos levantando la mano cuando algo se ve mal. Malwarebytes tiene recursos sólidos sobre tácticas de BEC que vale la pena guardar en favoritos para la educación continua del equipo.
Haga Copias de Seguridad de Sus Datos con Regularidad
Las estafas BEC a veces llegan como el primer paso de un ataque más amplio. Si un atacante entra a sus sistemas, usted quiere una copia de seguridad limpia a la cual volver. Nuestras soluciones de respaldo de datos empresariales están diseñadas exactamente para este tipo de situación. Si no tiene un respaldo actualizado, no tiene datos. Solo los está “prestando” hasta que algo salga mal.
Conclusión Sobre el Business Email Compromise
Llevo mucho tiempo reparando computadoras y ayudando a empresas a recuperarse de desastres de seguridad. La tecnología cambia. Las estafas se vuelven más sofisticadas. Pero el error de fondo siempre es el mismo: alguien actuó rápido cuando debía haber bajado el ritmo.
El business email compromise no es imparable. No es un ataque sofisticado de un Estado-nación del que solo deban preocuparse las empresas Fortune 500. Es una estafa que funciona porque la gente está ocupada, confía en los nombres que reconoce y nadie les dijo que se detuvieran a verificar primero.
Ahora alguien ya se lo dijo. Compártalo con su equipo.
Si usted es dueño de una empresa en West Palm Beach, Boca Raton, Lake Worth, Boynton Beach o en cualquier otra zona del condado de Palm Beach, y quiere que alguien revise de verdad la configuración de seguridad de su correo y le diga dónde están las brechas — sin venderle un montón de software que no necesita — llámenos. Eso es lo que hacemos.
¿Le preocupa su seguridad?
Obtenga eliminación profesional de virus, auditorías de seguridad y protección de datos con los expertos en ciberseguridad del condado de Palm Beach.
Asegure su sistema