top of page
Buscar

Correo electrónico empresarial comprometido: el ciberdelito silencioso que costará millones en 2025

En 2025, una de las ciberamenazas más devastadoras desde el punto de vista financiero no será el ransomware, sino el compromiso del correo electrónico empresarial (BEC).

Aunque el ransomware aún acapara titulares, el BEC está robando silenciosamente miles de millones de empresas de todo el mundo mediante sofisticada ingeniería social y engaños basados en correos electrónicos. A diferencia de los ataques basados en malware o cifrado, el BEC se aprovecha de la confianza humana, suplantando la identidad de ejecutivos, pirateando los hilos de los proveedores e infiltrándose en los flujos de trabajo financieros sin ser detectado.


Los ciberdelincuentes van directamente a la bandeja de entrada, eludiendo las defensas técnicas y aprovechando lagunas en el conocimiento y los procesos.


Entonces, ¿qué es exactamente BEC y por qué se ha convertido en una de las amenazas cibernéticas más peligrosas y costosas en la actualidad?


¿Qué es el compromiso de correo electrónico empresarial (BEC)?


La vulneración del correo electrónico empresarial es un tipo de ciberataque en el que los actores de amenazas se hacen pasar por una persona o entidad confiable a través del correo electrónico para manipular a las víctimas para que transfieran dinero o datos confidenciales.


El BEC no es solo spam, es ingeniería social altamente dirigida. Y funciona porque parece normal.


Los tipos de ataques BEC incluyen:


  • Fraude de CEO: hacerse pasar por un ejecutivo para solicitar transferencias bancarias urgentes.

  • Compromiso de correo electrónico de proveedor: secuestro de la bandeja de entrada de un proveedor para enviar facturas alteradas.

  • Estafas de redirección de nómina: Se hacen pasar por empleados y solicitan cambios en la información de depósito bancario.

  • Suplantación de abogado: Envío de demandas legales o de acuerdos falsos.


Por qué BEC es una de las principales amenazas en 2025


Es de baja tecnología y alta recompensa.

Los ataques BEC no requieren malware, por lo que a menudo eluden los sistemas antivirus y de firewall tradicionales.


Su coste se está disparando.

Según el Informe IC3 del FBI de 2024, las pérdidas por BEC superaron los 2900 millones de dólares, superando las pérdidas por ransomware, phishing y estafas de criptomonedas en conjunto. Las cifras de principios de 2025 sugieren que esta tendencia se está acelerando.


Está evolucionando rápidamente.

El BEC moderno utiliza IA para clonar estilos de escritura, falsificar hilos de correo electrónico e incluso generar mensajes de voz falsos.


Está dirigido a su equipo de finanzas y a sus ejecutivos.

A diferencia del phishing masivo, BEC persigue a las personas que mueven dinero: directores financieros, contabilidad, recursos humanos y asistentes ejecutivos.


Cómo se desarrolla un ataque BEC

  1. Reconocimiento: los atacantes estudian la estructura de su empresa, las relaciones con los proveedores y los hábitos de correo electrónico a través de las redes sociales, infracciones pasadas e inteligencia de fuente abierta.

  2. Suplantación de identidad o compromiso: crean dominios falsos o secuestran una cuenta de correo electrónico real mediante el robo de credenciales o el secuestro de sesión.

  3. Ejecución: se envía un correo electrónico urgente y en el momento perfecto a un objetivo, generalmente justo antes de un fin de semana, unas vacaciones o un viaje ejecutivo.

  4. Exfiltración: Se transfieren fondos a una cuenta fraudulenta, generalmente en el extranjero. Para cuando se descubre, ya es demasiado tarde.


Señales de advertencia de un ataque BEC


El costo real del BEC


El coste medio de un ataque BEC en 2025 es de 50.000 dólares, lo que contribuye a unas pérdidas globales estimadas en 6.300 millones de dólares, según el Informe de Infraestructura de Datos de Verizon (DBIR) de 2024. A diferencia del ransomware, cuyos datos suelen poder restaurarse a partir de copias de seguridad, los ataques BEC implican fraude financiero en tiempo real. Una vez transferidos los fondos, la recuperación es compleja y urgente.

 

Si bien algunas organizaciones han podido recuperar fondos robados a través de una rápida intervención bancaria o con la ayuda de un seguro cibernético, el éxito nunca está garantizado y, en muchos casos, el dinero se pierde de forma permanente.


Cómo proteger su negocio del BEC en 2025


Por qué el seguro cibernético podría no cubrir las pérdidas BEC


Muchas empresas asumen que el seguro cibernético cubre todo tipo de amenazas digitales. Pero cuando se trata de la vulneración del correo electrónico empresarial, la realidad es más compleja.


En los últimos años, las reclamaciones de seguros cibernéticos relacionadas con el BEC se han sometido a un mayor escrutinio y, en algunos casos, a rechazos, especialmente cuando las pólizas excluyen la ingeniería social o exigen controles internos estrictos. El BEC sigue siendo uno de los escenarios más complejos de evaluar para las aseguradoras.


  • El fraude se clasifica como una transferencia voluntaria de fondos y no como una infracción técnica.

  • La empresa no sigue los procedimientos de verificación requeridos

  • Falta documentación que demuestre que se siguieron los protocolos (como la aprobación dual o la verificación de devolución de llamada)


El año pasado surgieron varias demandas de alto perfil en las que las aseguradoras se negaron a pagar reclamos de BEC, citando exclusiones o lagunas procesales.


¿Qué puedes hacer?


1. Revise su política cibernética: comprenda qué está y qué no está cubierto con respecto al BEC y el fraude de ingeniería social.

2. Verifique si existen respaldos de ingeniería social: muchas pólizas requieren complementos para cubrir específicamente el BEC y el fraude de facturas.

3. Documente sus controles: las aseguradoras a menudo exigen pruebas de que se siguieron las mejores prácticas (doble autorización, capacitación, pasos de verificación).

4. Capacite a sus equipos de finanzas y recursos humanos: estos son los puntos de falla y escrutinio más comunes en los reclamos relacionados con BEC.


BEC y el papel de la cultura de la concienciación


La tecnología por sí sola no detendrá el BEC. Los atacantes explotan el comportamiento humano, no solo los sistemas.


Por eso, la capacitación en concientización cibernética, especialmente para finanzas, RR. HH. y ejecutivos, es más crucial que nunca. Cuando los empleados hacen una pausa, informan y verifican en lugar de reaccionar, se rompe la cadena de concienciación cibernética (BEC).


El éxito de BEC depende del silencio. Reportar correos electrónicos sospechosos de forma clara y temprana le da a su equipo el poder de detenerlos de inmediato.



Reflexiones finales


Puede que la vulneración del correo electrónico empresarial no sea noticia, pero está dejando a las empresas sin miles de millones, un correo a la vez. Es un fenómeno silencioso, personal y en aumento.


¿La buena noticia? Con la combinación adecuada de concienciación, control y comunicación, el BEC puede detenerse antes de que cause daños.


No esperes a que la factura falsa llegue a tu bandeja de entrada.


Construir una respuesta. Construir conciencia. Construir resiliencia.



 
 
 

Comentarios

Obtuvo 0 de 5 estrellas.
Aún no hay calificaciones
Agrega una calificación

DIRECCIÓN

English Canada

HEADQUARTER OFFICE
77 Bloor St W Suite 600

Toronto, ON M5S 1M2

TELÉFONO

+1 866 803 0700

English Canada

+1 866 803 0700

CORREO ELECTRÓNICO

info@armourcyber.io

CONECTAR

  • LinkedIn
  • Facebook
  • Instagram
  • X

Copyright © Armadura Ciberseguridad 2024 | Términos de uso | política de privacidad

bottom of page