Ir al contenido
Amenazas y Ataques

¿Qué es el BEC (fraude del correo corporativo)?

El BEC (business email compromise, o fraude del correo corporativo) es un engaño en el que el criminal se hace pasar por una persona de confianza, casi siempre un ejecutivo, un proveedor o un socio, y convence por correo a un empleado de transferir dinero o enviar datos sensibles. No usa virus: explota la autoridad y la urgencia, por eso pasa desapercibido para la mayoría de los filtros.

Zamak TechnologiesActualizado el 9 de julio de 2026

Cómo funciona un fraude de BEC

El BEC no invade sistemas: construye una mentira convincente. El engaño suele seguir cuatro etapas, y los fraudes más eficaces llevan semanas de preparación.

1

Reconocimiento

El criminal estudia la empresa en redes sociales, en el sitio web y en correos ya filtrados, y descubre quién autoriza pagos, quién los ejecuta y cómo se comunica la empresa.

2

El disfraz

Crea una dirección casi idéntica a la verdadera (un dominio parecido) o compromete un buzón real, para que el mensaje venga de un remitente legítimo.

3

El pedido

Llega una solicitud plausible y urgente, con aire de autoridad: una transferencia a una “nueva cuenta”, el cambio de banco de un proveedor, un pago confidencial que “no puede esperar”.

4

La transferencia

El empleado la ejecuta. El dinero va a la cuenta del criminal y se mueve rápido entre bancos. Recuperarlo se vuelve una carrera contra el tiempo.

Fuente: FBI (IC3) y N-able.

Cómo reconocer un fraude de BEC

  • Un pedido de transferencia urgente y confidencial que salta el proceso normal de aprobación
  • El cambio de datos bancarios de un proveedor comunicado solo por correo
  • Una dirección parecida, pero no idéntica, a la verdadera (una letra cambiada en el dominio)
  • El campo de respuesta (reply-to) apunta a una dirección distinta del remitente
  • Presión para actuar rápido y sin verificar: “estoy en una reunión, resuélvalo ahora”
  • Un pedido de mantener la operación en secreto, sin consultar a colegas
  • El cambio del canal habitual: quien siempre llamaba ahora solo escribe

Tipos de BEC

  • Fraude del CEO El criminal se hace pasar por un ejecutivo y ordena una transferencia urgente a quien puede ejecutarla.
  • Fraude del proveedor Un proveedor conocido “avisa” que cambió de banco; los próximos pagos van a la cuenta del estafador.
  • Cuenta comprometida El buzón real de un empleado es comprometido y usado para enviar pedidos desde dentro de la empresa.
  • Desvío de nómina y robo de datos El pedido no es de dinero, sino de datos: cambiar una cuenta de salario o enviar información fiscal y de recursos humanos.

Cuánto le cuesta el BEC a un negocio

$ 2.770 M
en pérdidas por BEC en 2024, el 2.º delito cibernético más costoso del año (FBI IC3 2024)
21.442
denuncias de BEC al FBI en 2024 (FBI IC3 2024)
$ 8.500 M
perdidos por BEC entre 2022 y 2024 (FBI IC3)

El BEC es discreto, pero es de los fraudes más caros que existen. En el informe de delitos en internet del FBI (IC3 2024), el BEC generó $ 2,77 mil millones en pérdidas con 21.442 denuncias, lo que lo ubica como el segundo delito cibernético más costoso del año, aun sin estar entre los más frecuentes. Entre 2022 y 2024, las pérdidas por BEC sumaron casi $ 8,5 mil millones. Y el fraude maduró: Verizon (DBIR 2025) señala que casi un tercio de los incidentes de ingeniería social ya son pretexting, la técnica detrás del BEC, en la que el criminal construye confianza durante semanas antes de pedir la transferencia. El daño rara vez se detiene en el monto enviado: suma el tiempo de reacción con el banco, la confianza rota con el proveedor y el riesgo legal del dato expuesto.

Cómo protegerse del BEC

El BEC engaña a personas, no a máquinas, así que la defensa combina tecnología con proceso, en el orden que más reduce el riesgo:

  1. Verificación fuera del correo para pagosToda transferencia o cambio de datos bancarios confirmado por un segundo canal, una llamada a un número ya conocido, nunca respondiendo al propio correo.
  2. Una segunda verificación de identidadAdemás de la contraseña, en el acceso al correo: impide que un buzón real sea secuestrado y usado en el fraude.
  3. Seguridad de correo gestionadaDetecta dominios parecidos, remitentes falsificados y mensajes que se salen del patrón, antes de que lleguen a la bandeja.
  4. Autenticación del propio dominioConfigurar los controles que impiden que terceros envíen correos en nombre de su empresa: una verificación de falsificación muestra si su dominio está expuesto.
  5. Capacitación y simulaciónEl equipo financiero aprende a desconfiar de la urgencia y el secreto, los dos disparadores preferidos del BEC.
  6. Regla de doble aprobaciónNinguna transferencia por encima de un monto sale con una sola firma.

En la práctica

Ante un pedido urgente de dinero por correo, llame para confirmar. Treinta segundos de teléfono valen más que cualquier filtro.

Cómo trata Zamak el BEC

Zamak Technologies combina seguridad de correo gestionada, una segunda verificación de identidad y capacitación del equipo financiero, para que el fraude no dependa de que una sola persona acierte. Un buen punto de partida es la verificación de falsificación de correo, que muestra en minutos si un estafador podría usar su dominio, y el frente de Ciberseguridad reduce las brechas que el BEC explota. Monitorear credenciales filtradas, en el frente de Anticipar, ayuda a frenar el fraude antes de que avance.

Preguntas frecuentes sobre el BEC

¿Cuál es la diferencia entre BEC y phishing?
El phishing es la carnada masiva que roba contraseñas y datos; el BEC es dirigido y usa la confianza para pedir dinero o información a una persona específica. Muchas veces el BEC empieza con un phishing que invade el buzón.
¿El BEC usa virus?
Casi nunca. Eso es lo que lo hace peligroso: no hay adjunto malicioso ni enlace para que un antivirus bloquee. El mensaje es solo un pedido plausible de quien parece tener autoridad.
¿Mi empresa es demasiado pequeña para ser objetivo?
No. El BEC apunta a cualquier empresa que haga pagos, y las más pequeñas suelen tener menos controles de proceso, lo que las vuelve objetivos fáciles.
Caí en un fraude de BEC, ¿y ahora?
Actúe en minutos: contacte a su banco para intentar bloquear la transferencia, denúncielo ante las autoridades y cambie las contraseñas del correo afectado. Cuanto más rápido actúe, mayor la posibilidad de revertir.
¿El antivirus lo resuelve?
Ayuda, pero no basta. Como el BEC no lleva virus, la defensa real combina seguridad de correo inteligente, autenticación del dominio y, sobre todo, el hábito de confirmar pagos por otro canal.
¿Qué es el fraude del proveedor?
Es la variación del BEC en la que el criminal se hace pasar por un proveedor conocido y avisa que cambió de banco. Los pagos siguientes van a la cuenta del estafador, a veces durante meses, hasta que alguien lo nota.

Términos relacionados

PhishingIngeniería socialMFADark web
Amenazas y Ataques
RansomwarePhishingBEC (fraude de correo)Ingeniería socialDoble extorsiónDark webDeep web
Endpoint e Identidad
MFA
Detección y Respuesta
EDRMDRXDRMITRE ATT&CK
Red y Acceso
ZTNA
Continuidad y Recuperación
BackupBackup inmutableRPO (punto de recuperación)RTO (tiempo de recuperación)DRaaS (recuperación ante desastres como servicio)
Gobernanza y Cumplimiento
LGPDISO 27001SOC 2NIST CSFShadow ITEvaluación de madurez cibernética