En muchas empresas, casi todo pasa por correo: órdenes de compra, facturas, aprobaciones de pago, contratos. Eso hace que el correo corporativo sea un objetivo muy atractivo para los delincuentes.
Cuando alguien toma control de la cuenta de un directivo, un proveedor o alguien de finanzas, puede usarla para enviar instrucciones falsas de pago o cambiar cuentas bancarias. A esto se le conoce como Business Email Compromise (BEC).
Qué es el Business Email Compromise (BEC)
El BEC es un tipo de fraude en el que los atacantes se hacen con el control de una cuenta de correo legítima (por ejemplo, la de un proveedor o un directivo) y la usan para engañar a otras personas dentro o fuera de la empresa.
Como el correo es real, los mensajes parecen completamente confiables.
Casos típicos de fraude a través del correo
Algunos ejemplos frecuentes:
- Un proveedor real te escribe (desde su cuenta comprometida) para avisar que cambió de banco y te manda una nueva cuenta para los pagos.
- Un supuesto director o CFO envía un correo pidiendo una transferencia “urgente y confidencial”.
- Se envían facturas verdaderas, pero con la CLABE alterada para que el dinero vaya a otra cuenta.
Cómo logran comprometer el correo de la empresa
Normalmente, el primer paso es el phishing: un correo falso que lleva a una página de inicio de sesión imitada donde alguien escribe su usuario y contraseña. También influye el uso de contraseñas débiles o repetidas y la falta de doble factor de autenticación.
Una vez que el atacante tiene la contraseña, entra al correo, observa cómo se comunica la empresa y espera el mejor momento para lanzar el fraude.
El impacto real en las pymes
Para una pyme, un fraude de este tipo puede significar:
- Pérdidas económicas fuertes por pagos a cuentas equivocadas.
- Conflictos con proveedores que no recibieron el dinero.
- Problemas de confianza con clientes y socios.
- Posibles implicaciones legales si hay datos sensibles involucrados.
Señales de alerta en correos de pagos y finanzas
Vale la pena sospechar cuando:
- Un proveedor pide cambiar de cuenta bancaria solo por correo y con mucha urgencia.
- Un directivo solicita transferencias inusuales o fuera de los procesos habituales.
- El tono del correo “suena raro” para ser esa persona (demasiado informal o demasiado formal).
- La dirección de correo tiene pequeñas variaciones (por ejemplo, una letra adicional en el dominio).
Qué hacer si sospechas que hubo un BEC
Si crees que una cuenta de correo fue comprometida:
- Cambia de inmediato la contraseña y habilita el doble factor.
- Revisa los filtros, reenvíos automáticos y reglas del buzón (muchos atacantes crean reglas para ocultar sus correos).
- Informa a proveedores y clientes afectados para que confirmen instrucciones de pago por otro canal.
- Consulta con tu banco si hay alguna transferencia que pueda detenerse o investigarse.
- Involucra a tu área de TI o a tu proveedor de servicios para revisar el alcance del incidente.
Políticas sencillas que reducen el riesgo
Algunas medidas prácticas:
- Establecer que cualquier cambio de cuenta bancaria debe confirmarse por un segundo canal (llamada, videollamada, etc.).
- Definir montos a partir de los cuales se requieren dos aprobaciones para un pago.
- Activar doble factor en todas las cuentas de correo corporativo.
- Capacitar periódicamente al personal de finanzas y compras en detección de fraudes por correo.
Cómo te acompaña NOVA TRADING en la protección del correo corporativo
En NOVA TRADING ayudamos a las pymes a ver el correo no solo como una herramienta de trabajo, sino como un posible punto de fallo crítico. Podemos orientarte sobre buenas prácticas, configuración de seguridad básica, autenticación y procesos de validación de pagos que reduzcan el riesgo de caer en un BEC.
La idea es que tus equipos de finanzas y compras trabajen tranquilos, sabiendo que tienen reglas claras y medidas técnicas razonables.
NOVA TRADING: tu tech partner de confianza, blindando tu vida digital.