Hard2bit
← Volver al glosario Técnicas ofensivas

Fraude del CEO (BEC)

Qué es el fraude del CEO (BEC)

El fraude del CEO, conocido internacionalmente como Business Email Compromise (BEC), es una estafa dirigida en la que el atacante se hace pasar por un directivo, un compañero o un proveedor para conseguir que un empleado con capacidad de pago ejecute una transferencia o cambie los datos bancarios de una factura. No es phishing masivo: es un ataque preparado, con reconocimiento previo de la empresa, su organigrama y sus relaciones comerciales, y un mensaje redactado a medida que apela a la autoridad, la urgencia y la confidencialidad. Es ingeniería social en estado puro: no necesita malware ni exploits, solo un correo creíble en el momento oportuno y un proceso de pagos que dependa exclusivamente del correo electrónico.

Por qué importa

Porque es, año tras año, la categoría de cibercrimen con mayores pérdidas económicas directas declaradas: el IC3 del FBI le atribuye miles de millones de dólares anuales, muy por encima del ransomware, y las cifras reales son mayores porque muchas víctimas no denuncian. En España afecta de lleno a la pyme: basta un correo convincente a administración para perder en una tarde el margen de todo un ejercicio. La eficacia del BEC nace de lo que no tiene: sin adjuntos maliciosos, sin enlaces a sitios fraudulentos y sin malware, los filtros técnicos tienen muy poco que analizar, y un mensaje bien escrito desde un dominio parecido —o desde el buzón real comprometido de un proveedor— pasa desapercibido. La evolución reciente agrava el problema: los modelos de lenguaje eliminan las erratas y torpezas que delataban al estafador, y los deepfakes de voz ya permiten que el "director financiero" confirme la operación por teléfono. La buena noticia es que los controles que lo frenan son organizativos y baratos: verificación fuera de banda, doble aprobación de pagos y una cultura donde cuestionar una orden urgente no se penaliza.

Puntos clave

Reconocimiento previo: el atacante estudia la web corporativa, LinkedIn y registros públicos mediante OSINT para identificar quién ordena pagos, quién los aprueba y qué proveedores factura la empresa. Cuanto mejor imita los flujos reales, menos sospecha levanta.

Suplantación del remitente: mediante spoofing del dominio, dominios parecidos registrados para la ocasión o, en la variante más peligrosa, desde el buzón legítimo comprometido de un directivo o proveedor, con acceso a hilos y facturas reales.

Variantes principales: el fraude del CEO clásico (el «director» ordena una transferencia urgente y confidencial), el fraude de proveedor o VEC (se altera el IBAN de una factura real) y el desvío de nóminas (RR. HH. recibe la petición de cambiar la cuenta de un empleado).

Sin malware, sin enlaces: el correo típico de BEC es texto plano y perfectamente legítimo a ojos de un filtro. Las pasarelas antispam y los antivirus analizan adjuntos y URLs; contra un mensaje que solo contiene una instrucción de pago, su capacidad de detección es mínima.

Palancas psicológicas: autoridad (lo pide el jefe), urgencia (hay que pagar hoy), confidencialidad (no lo comentes, es una operación reservada) y rutina (una factura más del proveedor de siempre). El objetivo es que la víctima actúe sin activar el procedimiento normal.

Controles que funcionan: verificación fuera de banda de todo cambio de cuenta u orden inusual (llamada al número conocido), doble aprobación para pagos por encima de un umbral, DMARC en reject, autenticación multifactor en el correo y formación específica del equipo financiero.

Ejemplo: la transferencia confidencial de 240.000 euros

Viernes, 13:40. La responsable de tesorería de una empresa exportadora recibe un correo del CEO, que está de viaje en una feria: la empresa va a cerrar la compra de un competidor pequeño y hay que enviar hoy mismo una señal de 240.000 euros al despacho que intermedia la operación; es confidencial y no puede comentarse con nadie hasta el anuncio. El tono es el habitual del CEO, menciona la feria correctamente e incluye en copia a un supuesto abogado externo que responde al instante confirmando los datos. La dirección del remitente usa un dominio casi idéntico al corporativo, registrado 48 horas antes. La presión de la hora, la autoridad y el secreto hacen el resto: la transferencia sale antes de las 15:00 y el lunes el dinero ya ha saltado por tres bancos intermedios.

El mismo ataque fracasa con dos controles baratos: un procedimiento que exige confirmar por teléfono —al número de siempre, no al que figure en el correo— cualquier pago no previsto por encima de 10.000 euros, y la firma mancomunada de dos personas para transferencias de ese importe. Ninguno de los dos depende de la tecnología del atacante. A partir de ahí suman las capas técnicas y humanas: DMARC y monitorización de dominios parecidos para detectar la suplantación, una auditoría del correo corporativo que descarte reglas de reenvío ocultas y accesos indebidos, y formación específica del equipo financiero con simulaciones de este tipo de fraude, porque quien lo ha visto una vez en un ejercicio lo reconoce cuando llega de verdad.

Errores habituales

  • Confiar en que el filtro de correo lo detectará. El BEC está diseñado precisamente para no tener nada que los filtros analicen: ni adjunto, ni enlace, ni malware. La defensa principal es de proceso (verificación y doble aprobación), no de pasarela.
  • Verificar el cambio de cuenta respondiendo al propio correo o llamando al teléfono que figura en él. Si el mensaje es fraudulento, la «confirmación» también lo será. La verificación solo vale si usa un canal y un contacto previamente conocidos.
  • Pensar que solo afecta a grandes corporaciones. Los estafadores automatizan el reconocimiento y atacan por volumen: una pyme con un solo administrativo y pagos internacionales es un objetivo más fácil que una multinacional con tesorería segregada.
  • Tratar el incidente como un error personal del empleado y no como un fallo de proceso. Castigar a quien cayó garantiza que el próximo intento no se comunique a tiempo; sin denuncia inmediata al banco y a la policía, las opciones de recuperar el dinero se desploman.
  • Creer que DMARC y MFA resuelven el problema por sí solos. Son necesarios, pero no paran un dominio parecido registrado ayer ni a un proveedor real con el buzón comprometido. Sin verificación fuera de banda de los pagos, el eslabón financiero sigue expuesto.

Servicios relacionados

Este concepto puede tener relación con servicios como:

Preguntas frecuentes

¿Por qué el fraude del CEO evade los filtros de correo?

Porque no contiene ninguno de los elementos que los filtros saben analizar: ni adjuntos maliciosos, ni enlaces a sitios fraudulentos, ni firmas de malware. Es un mensaje de texto legítimo en apariencia, a menudo enviado desde un dominio real —parecido al corporativo o directamente comprometido—. Las protecciones más eficaces son contextuales: banners de remitente externo, detección de dominios recién registrados y análisis de anomalías en los patrones de comunicación.

¿Qué hago si la transferencia ya se ha ejecutado?

Actuar en minutos, no en días. Llamar inmediatamente al banco para solicitar la retención o el retorno de los fondos, avisar al banco receptor si se conoce, y denunciar ante la Policía Nacional o la Guardia Civil aportando los correos originales con sus cabeceras. En operaciones internacionales, el margen útil suele ser de 24 a 72 horas antes de que el dinero se fragmente en cuentas mula. Conviene también notificar al seguro de ciberriesgo si existe póliza.

¿DMARC y la autenticación multifactor bastan para prevenir el BEC?

No. DMARC impide la falsificación exacta de tu dominio y la MFA dificulta el compromiso de buzones, y ambos deberían estar activos. Pero el atacante puede usar un dominio parecido registrado la víspera o el buzón legítimo de un proveedor ya comprometido, y ningún control técnico valida que la orden de pago sea auténtica. La última línea de defensa es siempre el procedimiento: verificación fuera de banda y doble aprobación.

¿Qué papel juegan los deepfakes en este fraude?

Cierran la vía de verificación informal. Hasta hace poco, una llamada bastaba para desmontar el engaño; hoy existen casos documentados de clonación de voz de directivos e incluso videollamadas falsificadas para confirmar transferencias millonarias. La respuesta es reforzar el procedimiento, no abandonarlo: devolver la llamada a un número previamente conocido, usar palabras clave acordadas para operaciones sensibles y mantener la doble aprobación independiente del canal.