Los intentos de suplantación de identidad no son nuevos. Desde hace siglos, los estafadores han adoptado roles falsos para engañar y sacar provecho: desde el “primo” perdido que aparece de la nada para reclamar una herencia, hasta el vendedor ambulante que promete curas milagrosas con credenciales dudosas. Sin embargo, lo que sí ha cambiado (y de forma drástica) es la facilidad con la que hoy cualquiera puede hacerse pasar por alguien más. El correo electrónico, las redes sociales y, más recientemente, la inteligencia artificial han convertido la suplantación en un juego peligroso, y cada vez más convincente.
Los deepfakes han elevado la amenaza a otro nivel, permitiendo a actores maliciosos replicar la voz, la imagen y hasta los gestos de personas reales. El resultado: fraudes mucho más sofisticados, difíciles de detectar y extremadamente costosos. Según el FBI, los ataques de compromiso de correo electrónico empresarial (BEC) provocaron pérdidas por 55 mil millones de dólares solo en EE. UU. entre 2013 y 2023. Y la tendencia sigue en aumento.
Una transferencia bancaria que nunca debió realizarse. Un proveedor que, en realidad, no existía. Un simple correo que bastó para poner en jaque a toda una empresa. Estos no son casos aislados: son señales claras de que los ataques BEC están más presentes que nunca. Este tipo de fraude no necesita malware para causar estragos; basta con un engaño bien dirigido.
Un ataque BEC es una forma de fraude digital altamente dirigido, en el cual los atacantes se hacen pasar por personas de confianza dentro de una organización (como ejecutivos, proveedores o socios) para engañar a trabajadores y lograr que:
Realicen transferencias bancarias fraudulentas
Entreguen datos confidenciales
Abran archivos maliciosos
Accedan a sistemas internos
A diferencia del phishing tradicional, los ataques BEC no suelen incluir enlaces maliciosos evidentes. En su lugar, se basan en técnicas de engaño cuidadosamente orquestadas, lo que los hace más difíciles de detectar.
Los ataques BEC combinan varias tácticas para aumentar su efectividad:
Ingeniería social: Se aprovechan de la confianza y jerarquía dentro de las empresas.
Suplantación de identidad (spoofing): Imitan correos legítimos o incluso comprometen cuentas reales.
Urgencia emocional: Usan lenguaje urgente para reducir el pensamiento crítico.
Conocimiento interno: Muchas veces, los atacantes investigan la estructura y operaciones de la empresa antes de actuar.
Hoy en día, estos ataques vienen en muchas formas, pero todos tienen algo en común: buscan engañar a alguien dentro de la empresa para que actúe rápido… y termine cometiendo un error caro. Puede ser pagar una factura falsa, dar acceso a información sensible, o incluso comprar tarjetas de regalo para un supuesto cliente o jefe.
Lo preocupante es que estos correos suelen parecer completamente legítimos. Por eso, entender cómo funcionan estos fraudes y a quiénes suelen apuntar es clave para prevenirlos. Si tu equipo sabe qué señales buscar, es mucho más fácil evitar caer en la trampa. Veamos los 7 tipos de ataques BEC más frecuentes y cómo reconocerlos antes de que causen problemas.
Este es uno de los clásicos. Alguien se hace pasar por el CEO, el CFO o algún alto ejecutivo usando un correo falso (o peor aún, una cuenta real que lograron hackear) y le escribe a alguien de finanzas o de recursos humanos con una solicitud urgente. Puede ser una transferencia “confidencial” o una lista con datos sensibles de trabajadores. Todo suena importante, legítimo… y muy secreto. Esa presión, sumada al respeto que genera un jefe, hace que muchas personas actúen sin cuestionar nada. Lo que el atacante busca es tiempo: mientras más tarde se descubra el engaño, más difícil será recuperar el dinero o la información robada.
En este caso, el atacante logra acceder a una cuenta real dentro de la empresa. Ya no necesita fingir nada: responde correos existentes, sigue conversaciones y lanza ataques desde un canal que parece completamente confiable. Así puede enviar archivos maliciosos, propagar ransomware o solicitar pagos falsos entre equipos, como dos contadores que “ya venían hablando del tema”. El truco está en lo real que parece todo.
Este tipo de ataque es peligroso porque se mete justo en medio de las relaciones que ya existen. El atacante se hace pasar por uno de tus proveedores habituales y envía una factura que parece de rutina, con montos conocidos, fechas esperadas… pero con una cuenta bancaria nueva. Y como todo luce normal, es muy fácil pasar por alto el engaño. Por eso es clave tener un segundo canal de contacto (una llamada, un mensaje directo, etc.) para confirmar cambios financieros. Si algo no te huele bien, mejor levantar el teléfono que perder el dinero.
Este ataque se apoya en algo muy humano: el miedo. Si un correo dice ser de un abogado y menciona un tema legal delicado o urgente, mucha gente entra en pánico y hace lo que se le pide sin preguntar. Peor aún si el supuesto abogado insiste en mantener la confidencialidad. Esa solicitud de silencio aísla a la víctima, evitando que consulte con otros colegas que podrían notar algo raro. Si un abogado te escribe con urgencia y no tienes idea por qué, vale la pena hacer algunas verificaciones antes de responder.
Aquí, los atacantes se hacen pasar por un trabajador y piden al departamento de cuentas por pagar que cambie su cuenta de depósito directo. Todo parece un simple trámite administrativo. Pero la nueva cuenta pertenece a los estafadores, y el próximo pago de nómina acaba en manos equivocadas. Muchas veces, el trabajador no se da cuenta hasta que ya es demasiado tarde. Ahora imagina ese mismo ataque multiplicado por decenas o cientos de trabajadores. Es tan rentable como suena para los ciberdelincuentes.
No todos estos ataques buscan dinero inmediato. A veces, el objetivo son los datos personales: nombres, direcciones, números de seguridad social, información bancaria… todo eso vale oro para el robo de identidad. Los equipos de recursos humanos son un blanco favorito porque suelen tener toda esa información a la mano. Un correo convincente, una solicitud que parece venir del jefe, y listo: el atacante ya tiene material para crear cuentas falsas, cometer fraudes o vender los datos en la dark web.
Esta es una de las más comunes y, aunque parezca increíble, sigue funcionando. Alguien se hace pasar por un alto ejecutivo y le pide a un trabajador que compre tarjetas de regalo “para un sorteo interno” o “como agradecimiento a un cliente importante”. Luego, le solicita que envíe los códigos por correo y promete que se le reembolsará el gasto. Para cuando el fraude se detecta, las tarjetas ya se usaron y el dinero no se puede recuperar. La clave aquí es la autoridad: muchas personas simplemente no se atreven a cuestionar una orden que parece venir de arriba.
Si quieres reducir el riesgo de caer en un ataque de compromiso de correo electrónico (BEC), hay algunas buenas prácticas que cualquier empresa (sin importar su tamaño) debería aplicar. No se trata de complicarse la vida, sino de ser más conscientes y estar un paso adelante.
Capacitar una sola vez no basta. Es importante mantener al personal informado sobre cómo se ven estos ataques, qué señales deben prender las alertas y qué hacer si algo les parece sospechoso. Una charla a tiempo puede evitar un problema muy costoso.
Si te llega una solicitud para mover dinero, compartir datos confidenciales o hacer cambios importantes, no te quedes solo con lo que dice el correo. Confírmalo por otro canal: una llamada, un mensaje directo, una reunión rápida… cualquier cosa menos actuar sin verificar. Más vale preguntar de más que perder dinero o información valiosa.
Las herramientas de seguridad son clave, y no hablamos solo de antivirus. Por ejemplo, TecnetProtect es una solución completa de ciberseguridad y respaldo que incluye protección avanzada de correo electrónico. Esta solución analiza cada mensaje en tiempo real con inteligencia artificial para detectar y bloquear suplantaciones de identidad, archivos peligrosos, enlaces maliciosos y remitentes sospechosos antes de que lleguen a la bandeja de entrada. Además, se integra fácilmente con Microsoft 365, Google Workspace y otros sistemas de correo corporativo, sin necesidad de instalar nada en los dispositivos del usuario. Así, proteges a tu equipo sin afectar su forma de trabajar.
Cada empresa tiene áreas más vulnerables que otras. Vale la pena analizar quién tiene acceso a qué información, cómo se manejan las autorizaciones y qué procesos podrían ser aprovechados por un atacante. Hacer esta revisión regularmente te ayuda a cerrar puertas antes de que alguien intente entrar.
Ejecutar pruebas internas de ataques tipo BEC es una excelente forma de ver qué tan preparado está tu equipo. No se trata de ponerlos a prueba para atraparlos, sino de identificar oportunidades para reforzar el entrenamiento y mejorar la respuesta ante una amenaza real.
Los ataques BEC no son una exageración ni algo que solo le pasa a las grandes empresas. Son una amenaza muy real, y van en aumento. Lo peor es que no dependen de tecnología súper sofisticada, sino de algo mucho más simple: engañar a las personas.
Por eso, tener herramientas de seguridad ayuda, sí, pero no sirve de mucho si tu equipo no sabe a qué se enfrenta. Conocer los 7 tipos de ataques más comunes es clave para poder detectarlos a tiempo y evitar errores costosos. Al final, la mejor forma de proteger a tu empresa es con gente bien informada, procesos claros y tecnología que realmente te respalde. Todo cuenta.