BEC: Fraude CEO, Cadena de Pagos y Respuesta SOC

El cibercrimen más costoso del mundo no usa malware

Ransomware acapara titulares. Los zero-days generan conferencias enteras. Pero el crimen que más dinero mueve en el ecosistema ciber no requiere exploits, no necesita infraestructura C2 y rara vez deja IOCs técnicos. Business Email Compromise (BEC) generó 2.9 mil millones de dólares en pérdidas reportadas solo en 2023, según el informe IC3 del FBI. Eso es más que ransomware, más que fraude de inversión cripto, más que cualquier otra categoría individual.

La razón es simple: BEC explota la confianza humana y los procesos de pago corporativos, no las vulnerabilidades de software. Un email que parece venir del CEO pidiendo una transferencia urgente. Una factura de un proveedor real con datos bancarios modificados. Un cambio de cuenta de nómina solicitado por "el empleado". No hay fichero malicioso que analizar, no hay dominio C2 que bloquear. Solo un email convincente y una persona que confía en lo que ve en su bandeja de entrada.

Este artículo desmonta la mecánica completa del BEC: los cinco tipos principales, la cadena de ataque desde el reconocimiento hasta la exfiltración de fondos, las técnicas de compromiso de buzones, la convergencia con deepfakes, y los playbooks de detección, respuesta y recuperación que todo equipo SOC necesita tener preparados.

Qué es Business Email Compromise

BEC es un fraude dirigido en el que un atacante compromete o suplanta una cuenta de correo electrónico corporativa para manipular procesos financieros. A diferencia del phishing masivo (que busca volumen), BEC es un ataque de precisión: el atacante estudia a la organización, identifica a las personas con autoridad sobre pagos y construye un pretexto creíble para desviar fondos.

El FBI IC3 lleva rastreando BEC como categoría desde 2013. Las cifras acumuladas superan los 55 mil millones de dólares en pérdidas globales reportadas entre 2013 y 2023. Y eso es solo lo que se reporta: la cifra real es significativamente mayor porque muchas organizaciones no denuncian por vergüenza o desconocimiento.

Características que distinguen BEC de otros ataques basados en email:

• Sin payload técnico. No hay adjuntos maliciosos, no hay enlaces a kits de phishing. El "arma" es el texto del email.
• Dirigido a personas específicas. El atacante sabe quién autoriza pagos, quién gestiona nóminas, quién trabaja con proveedores externos.
• Explota la cadena de confianza. El email parece venir de alguien con autoridad (CEO, CFO, abogado externo, proveedor habitual).
• Urgencia como catalizador. Casi todos los BEC incluyen presión temporal: "necesito esto hoy", "es confidencial", "no comentes con nadie hasta que se cierre".
• Pérdidas elevadas por incidente. La media de pérdida por ataque BEC exitoso ronda los 125.000 USD, con casos documentados que superan los 60 millones.

Los cinco tipos de BEC

El FBI clasifica BEC en cinco variantes principales. Cada una explota un punto diferente del proceso financiero corporativo.

Tipo	Nombre	Víctima directa	Mecanismo	Pérdida media
1	CEO Fraud	Departamento financiero	Email del "CEO" solicitando transferencia urgente	150.000 - 500.000 USD
2	Invoice Fraud	Cuentas por pagar	Factura real de proveedor con IBAN/cuenta modificada	50.000 - 250.000 USD
3	Account Compromise	Contactos del empleado	Buzón comprometido envía facturas falsas a clientes	Variable
4	Attorney Impersonation	Ejecutivos/finanzas	"Abogado" solicita transferencia para operación confidencial	100.000 - 1.000.000 USD
5	Payroll Diversion	RRHH/nóminas	Empleado "solicita" cambio de cuenta bancaria de nómina	5.000 - 50.000 USD

CEO Fraud (tipo 1) es el más conocido. El atacante suplanta al CEO o a un directivo de alto nivel y envía un email al responsable financiero pidiendo una transferencia urgente. El pretexto típico: una adquisición confidencial, un pago a un nuevo proveedor, una multa regulatoria que hay que resolver antes de que trascienda. La urgencia y la confidencialidad son las dos palancas principales.

Invoice Fraud (tipo 2) es el más difícil de detectar porque se basa en relaciones comerciales reales. El atacante intercepta (o suplanta) la comunicación con un proveedor legítimo y modifica los datos bancarios en una factura real. La víctima paga una factura que reconoce, por un importe esperado, a una cuenta que no es la correcta.

Account Compromise (tipo 3) es el más técnico. El atacante compromete el buzón real de un empleado (via credential phishing, password spray o token theft) y lo usa para enviar comunicaciones fraudulentas a clientes, proveedores o compañeros. Como el email viene de una cuenta legítima, pasa todos los controles de autenticación (SPF, DKIM, DMARC).

Attorney Impersonation (tipo 4) explota la deferencia hacia figuras de autoridad legal. El atacante se hace pasar por un abogado externo o un bufete conocido y contacta a ejecutivos para solicitar transferencias relacionadas con operaciones legales confidenciales.

Payroll Diversion (tipo 5) tiene el ticket más bajo pero el volumen más alto. El atacante suplanta a un empleado y envía un email a RRHH solicitando el cambio de la cuenta bancaria donde se deposita la nómina. Si RRHH no verifica por un canal alternativo, la nómina del siguiente mes va a la cuenta del atacante.

Anatomia de un ataque BEC

Un BEC típico sigue una cadena de cuatro fases que puede extenderse durante semanas o meses antes de la acción final.

Fase 1: Reconocimiento (días a semanas)

El atacante recopila información sobre la organización objetivo:

• LinkedIn: identifica la estructura jerárquica, nombres de CEO/CFO/directores financieros, departamento de compras, proveedores mencionados en posts.
• Registro mercantil y web corporativa: nombres de socios, filiales, datos de contacto.
• Fuentes OSINT: comunicados de prensa sobre adquisiciones, cambios de directivos, expansiones internacionales.
• Email harvesting: herramientas como Hunter.io, Phonebook.cz o Google dorks para descubrir patrones de email ([email protected]).
• Redes sociales del objetivo: viajes del CEO (para saber cuándo no estará disponible para verificar), eventos de la empresa, vacaciones de personal clave.

El reconocimiento determina qué tipo de BEC es más viable. Si el CEO viaja a menudo, CEO fraud. Si hay proveedores internacionales con facturas recurrentes, invoice fraud. Si RRHH es accesible por email, payroll diversion.

Fase 2: Compromiso del buzón o preparación del spoofing (días)

Según el nivel de sofisticación, el atacante elige entre comprometer un buzón real o simular uno:

• Compromiso real: el atacante obtiene acceso al buzón legítimo del CEO, CFO o proveedor. Esto es lo más peligroso porque todos los controles de autenticación de email (SPF, DKIM, DMARC) serán válidos.
• Spoofing de dominio: registra un dominio visualmente similar (empresa-group.com en lugar de empresagroup.com) y configura SPF/DKIM propios. Menos eficaz si la víctima tiene DMARC en modo reject, pero muchas organizaciones aún no lo tienen.
• Free webmail: en los casos más burdos, el atacante usa una cuenta de Gmail o Outlook con un display name que coincide con el del ejecutivo. Sorprendentemente, sigue funcionando en organizaciones sin concienciación.

Fase 3: Monitorización pasiva (días a semanas)

Si el atacante ha comprometido un buzón real, esta fase es crítica. El atacante:

• Lee emails históricos para entender el tono, las fórmulas de cortesía, las firmas, los procesos internos de aprobación de pagos.
• Crea reglas de buzón para redirigir emails específicos (de contabilidad, de proveedores clave) a una carpeta oculta o a una dirección externa. Esto le permite interceptar comunicaciones sin que el propietario legítimo las vea.
• Identifica el momento óptimo para actuar: cierre de trimestre, viaje del CEO, periodo de vacaciones, una operación de M&A en curso.
• Mapea los controles internos: cuántas aprobaciones se necesitan para una transferencia, si hay verificación telefónica, cuáles son los límites de importe sin doble firma.

Fase 4: Acción y exfiltración de fondos (horas)

El ataque se ejecuta cuando las condiciones son óptimas. El email fraudulento se envía con:

• Tono y formato idénticos a los del remitente real.
• Referencia a operaciones reales (extraídas del buzón comprometido).
• Instrucciones de pago claras con IBAN/SWIFT de la cuenta mula.
• Presión temporal explícita ("antes de las 15:00 de hoy").
• Instrucción de confidencialidad ("no comentes esto con nadie por ahora").

Una vez la transferencia se ejecuta, los fondos se mueven rápidamente a través de cuentas mula intermedias, a menudo en jurisdicciones con regulación débil, y se convierten en criptomoneda o se retiran en efectivo en cuestión de horas.

Tecnicas de compromiso de buzones

El paso de comprometer un buzón de correo corporativo real es lo que separa un BEC sofisticado de uno básico. Las cuatro técnicas principales:

Credential phishing dirigido. Un email personalizado que lleva a una página de login falsa de Microsoft 365 o Google Workspace. A diferencia del phishing masivo, el email menciona a la víctima por nombre, referencia un proyecto real y usa un pretexto creíble (documento compartido, revisión de seguridad, actualización de política). Frameworks como Evilginx permiten capturar no solo credenciales sino también tokens de sesión, bypass de MFA incluido.

Password spray. Probar contraseñas comunes (Summer2026!, Company123, Welcome1) contra múltiples cuentas del directorio. Si la organización no tiene lockout policies bien configuradas o no monitoriza intentos fallidos distribuidos, una contraseña débil en cualquier cuenta del dominio puede ser el punto de entrada.

Token theft (adversary-in-the-middle). Proxy inverso que intercepta la autenticación legítima del usuario, captura el token de sesión post-MFA y lo reutiliza. El usuario completa su login normalmente (incluyendo MFA) sin darse cuenta de que su sesión ha sido secuestrada. Esta técnica invalida la protección de MFA convencional.

OAuth app consent phishing. El atacante crea una aplicación OAuth maliciosa y envía un enlace de consentimiento al usuario. Si el usuario autoriza la app, el atacante obtiene acceso persistente al buzón sin necesidad de contraseña. La app puede leer, enviar y gestionar emails con los permisos que el usuario le otorgó. Este vector es particularmente peligroso porque persiste incluso si el usuario cambia su contraseña.

La cadena de pagos: cómo funciona el wire fraud

Una vez el email fraudulento convence a la víctima, el dinero sigue un recorrido diseñado para dificultar la recuperación:

1. Cuenta receptora inicial (mula de nivel 1). Suele ser una cuenta bancaria legítima en el mismo país que la víctima, abierta con documentación falsa o perteneciente a un individuo reclutado como "agente financiero" mediante anuncios de trabajo falsos.

2. Transferencia rápida (minutos a horas). Los fondos se mueven de la cuenta mula de nivel 1 a una o varias cuentas en el extranjero. Jurisdicciones frecuentes: Hong Kong, Nigeria, Turquía, Reino Unido, EAU.

3. Fragmentación. La cantidad se divide en importes menores distribuidos entre múltiples cuentas para evitar umbrales de reporte de actividad sospechosa (en muchos países, transacciones superiores a 10.000 USD/EUR disparan alertas automáticas).

4. Conversión. Los fondos se convierten a criptomoneda (Bitcoin, USDT vía exchanges sin KYC estricto), se retiran en efectivo, o se usan para comprar bienes de alto valor revendibles (electrónica, tarjetas regalo, oro).

5. Lavado final. Los fondos ya convertidos pasan por mezcladores de criptomoneda o se integran en negocios legítimos. En esta fase, la recuperación es prácticamente imposible.

La ventana efectiva para congelar fondos es de 24 a 72 horas desde la transferencia. Después de ese plazo, la probabilidad de recuperación cae por debajo del 10%.

BEC y deepfakes: la convergencia

La evolución más preocupante del BEC es su convergencia con la tecnología deepfake. Lo que antes requería solo un email convincente ahora se refuerza con llamadas de voz clonada y videoconferencias falsificadas.

Casos documentados:

• 2024, Hong Kong: un empleado de una multinacional transfirió 25 millones de dólares tras una videoconferencia donde todos los participantes (incluido el CFO) eran deepfakes en tiempo real. El empleado tuvo dudas iniciales, pero la videoconferencia le convenció.
• 2023, varios países: grupos BEC empezaron a usar voice cloning con herramientas comerciales (ElevenLabs, Resemble.AI) para hacer llamadas de "confirmación" del CEO. Con 30 segundos de audio público (de un podcast, una conferencia, un vídeo de LinkedIn), la voz clonada es suficientemente convincente por teléfono.
• 2025, tendencia creciente: servicios de deepfake-as-a-service en foros underground ofrecen clonación de voz y vídeo por 200-500 USD. La barrera de entrada técnica ha desaparecido.

La combinación BEC + deepfake elimina la principal defensa que muchas organizaciones tenían: "si tienes duda, llama para confirmar". Si la llamada de confirmación también está falsificada, el proceso de verificación colapsa. Las organizaciones necesitan canales de verificación que no dependan únicamente de la identidad vocal o visual.

Deteccion tecnica para equipos SOC

BEC es difícil de detectar con herramientas de seguridad convencionales porque no hay malware, no hay IOCs de red y el email puede ser técnicamente legítimo. Sin embargo, hay señales detectables si se sabe dónde mirar.

Señales en el buzón comprometido

Impossible travel. Login desde Madrid a las 10:00 y desde Lagos a las 10:30. Los CASB (Cloud Access Security Brokers) y los logs de Azure AD/Entra ID registran geolocalización de cada autenticación. Una alerta de impossible travel en la cuenta de un ejecutivo debe tratarse como P1.

Reglas de buzón anómalas. El atacante crea reglas para redirigir emails de determinados remitentes (contabilidad, proveedor X) a una carpeta oculta o directamente a la papelera. Monitorizar la creación de reglas de inbox (especialmente las que mueven mensajes a RSS, Conversation History o carpetas con nombres genéricos) es una de las detecciones más eficaces para BEC.

# Ejemplo: query KQL para Microsoft 365
OfficeActivity
| where Operation == "New-InboxRule"
| where Parameters contains "DeleteMessage" 
    or Parameters contains "ForwardTo"
    or Parameters contains "RedirectTo"
| project TimeGenerated, UserId, Parameters, ClientIP

Mail forwarding rules. Similar a las reglas de buzón, pero a nivel de transporte. El atacante configura un auto-forward de todo el correo (o de remitentes específicos) a una dirección externa. Esto persiste incluso si se cambia la contraseña.

OAuth app consent sospechoso. Una aplicación OAuth desconocida con permisos de Mail.Read, Mail.Send o Mail.ReadWrite sobre la cuenta de un ejecutivo. Auditar regularmente las aplicaciones con consentimiento OAuth en el tenant es fundamental.

Señales en el email fraudulento

Reply-to diferente del From. El email parece venir del CEO pero el Reply-To apunta a un dominio externo. Muchos clientes de correo no muestran el Reply-To de forma prominente.

Dominio lookalike en el From. empresa-group.com en lugar de empresagroup.com. Homoglyphs (rn en lugar de m, l en lugar de I). Herramientas como dnstwist generan variaciones de un dominio para monitorización proactiva.

Contenido atípico. Solicitudes de transferencia fuera del proceso habitual, urgencia extrema, instrucciones de confidencialidad, cambios de datos bancarios. Los modelos de NLP entrenados en el corpus de email corporativo pueden detectar desviaciones en el tono y la estructura.

Respuesta SOC: playbook BEC

Cuando se confirma o se sospecha un BEC, el equipo SOC debe ejecutar un playbook con tres fases paralelas.

Fase 1: Contención (primeros 30 minutos)

1. Revocar sesiones activas de la cuenta comprometida. En Microsoft 365: revocar tokens de refresh, forzar re-autenticación. En Google Workspace: revocar sesiones OAuth.
2. Cambiar contraseña de la cuenta comprometida y de cualquier cuenta que comparta credenciales.
3. Eliminar reglas de buzón maliciosas. Revisar todas las reglas de inbox y transport rules. Eliminar forwarding a direcciones externas.
4. Revocar aplicaciones OAuth sospechosas. Eliminar consentimientos de apps desconocidas.
5. Notificar al banco. Si ya se ejecutó una transferencia, contactar inmediatamente al banco para solicitar congelación o recall de la transferencia.
6. Preservar evidencia. Antes de limpiar, exportar logs de auditoría de Azure AD/Google Admin, headers del email fraudulento, reglas de buzón creadas.

Fase 2: Investigación (primeras 24 horas)

1. Determinar el vector de entrada. Credential phishing, password spray, token theft, OAuth consent. Revisar logs de autenticación para encontrar el primer acceso ilegítimo.
2. Establecer la línea temporal. Desde cuándo el atacante tuvo acceso. Qué emails leyó, qué reglas creó, qué emails envió desde la cuenta.
3. Identificar otras cuentas afectadas. Si el atacante usó la cuenta comprometida para hacer phishing interno, otras cuentas pueden estar comprometidas.
4. Analizar la cadena de pagos. Si hubo transferencia, documentar: importe, fecha/hora, cuenta destino, banco intermediario. Esta información es crítica para el proceso de recuperación.
5. Verificar el alcance del daño. Qué información confidencial pudo leer el atacante. Contratos, datos financieros, información de clientes. Evaluar si hay obligación de notificación por RGPD u otras regulaciones.

Fase 3: Recuperación y hardening (primeras 72 horas)

1. Habilitar MFA resistente a phishing (FIDO2, Windows Hello) en todas las cuentas ejecutivas, no solo la comprometida.
2. Implementar Conditional Access Policies que bloqueen acceso desde ubicaciones o dispositivos no reconocidos.
3. Restringir OAuth app consent para que solo admins puedan autorizar aplicaciones con permisos de correo.
4. Actualizar reglas de detección con los IOCs específicos del incidente (IPs de acceso, dominios lookalike, direcciones de forwarding).
5. Comunicar internamente. Informar al equipo financiero sobre el incidente (sin detalles técnicos excesivos) para que estén alerta ante intentos similares.

Recuperacion de fondos

La recuperación de fondos tras un BEC exitoso es una carrera contra el reloj. Cada hora que pasa reduce la probabilidad de éxito.

Primeras 24 horas (probabilidad de recuperación: 40-60%). Contactar al banco emisor y solicitar un recall de la transferencia SWIFT. Los bancos tienen procedimientos específicos para reversiones por fraude, pero requieren documentación del incidente. En paralelo, contactar al banco receptor (si se conoce) para solicitar congelación de la cuenta.

24-72 horas (probabilidad: 15-30%). Los fondos probablemente ya se movieron a cuentas intermediarias. Reportar al IC3 del FBI (si hay conexión con EEUU), a INTERPOL (si es internacional), o a la unidad de delitos telemáticos de la policía nacional del país afectado. El IC3 tiene un Recovery Asset Team (RAT) específico para BEC que coordina con bancos internacionales.

Más de 72 horas (probabilidad: menos del 10%). Los fondos ya se convirtieron a criptomoneda o se retiraron en efectivo. La investigación pasa a ser forense y judicial. Interponer denuncia formal, contratar abogados especializados en fraude internacional, y documentar todo para reclamación al seguro cyber (si existe).

Documentación necesaria para el proceso de recuperación:

• Copia del email fraudulento con headers completos.
• Comprobante de la transferencia bancaria.
• Timeline del incidente con fechas y horas exactas.
• Logs de auditoría de la cuenta comprometida.
• Datos de la cuenta destino (IBAN, SWIFT, banco, titular si se conoce).

Prevencion: controles que funcionan

La prevención del BEC combina controles técnicos de email, controles financieros de proceso y concienciación humana. Ninguno es suficiente por sí solo.

Controles técnicos de email

DMARC en modo reject. Impide que terceros envíen emails suplantando tu dominio. Sin DMARC, cualquier servidor del mundo puede enviar un email con tu dominio en el From:. Con DMARC en p=reject, esos emails se rechazan antes de llegar al destinatario. Prerequisito: tener SPF y DKIM configurados correctamente.

Reglas de transporte para emails externos. Añadir un banner visible en emails que lleguen de fuera de la organización: "[EXTERNO] Este email proviene de fuera de la organización. Verifique el remitente antes de hacer clic en enlaces o responder con información sensible."

Monitorización de dominios lookalike. Herramientas como dnstwist, PhishTank o servicios comerciales de brand monitoring que alertan cuando se registra un dominio similar al corporativo.

Controles financieros de proceso

Verificación out-of-band obligatoria. Cualquier cambio de datos bancarios (proveedor o empleado) o transferencia por encima de un umbral debe confirmarse por un canal diferente al email: llamada telefónica a un número previamente registrado (no al que aparece en el email), mensaje por la plataforma de comunicación interna, o confirmación presencial.

Doble aprobación para transferencias. Ninguna transferencia por encima de un umbral definido (por ejemplo, 10.000 EUR) se ejecuta con una sola autorización. La segunda aprobación debe venir de una persona diferente que verifique independientemente.

Período de espera para cambios bancarios. Los cambios de datos bancarios de proveedores o empleados entran en vigor después de un período de espera (48-72 horas), durante el cual se verifica por canal alternativo.

Concienciación específica BEC

Los programas de concienciación genéricos sobre phishing son insuficientes para BEC. El personal financiero, RRHH y ejecutivos necesitan formación específica sobre:

• Cómo identificar emails BEC (urgencia + confidencialidad + cambio financiero).
• El protocolo exacto de verificación out-of-band de su organización.
• Qué hacer si ya han ejecutado una transferencia sospechosa (cada minuto cuenta).
• La existencia de deepfakes de voz y vídeo como complemento del email fraudulento.

Recursos y referencias

Informes y estadísticas:

• FBI IC3 Internet Crime Report 2023: estadísticas oficiales de pérdidas BEC.
• Proofpoint State of the Phish 2024: datos de prevalencia y efectividad BEC.
• Verizon DBIR 2024: BEC como subcategoría de social engineering.

Herramientas de detección y prevención:

• dnstwist: generación y monitorización de dominios lookalike.
• DMARC Analyzer / dmarcian: implementación y monitorización de DMARC.
• Microsoft Defender for Office 365: detección de BEC con modelos ML nativos.
• Google Workspace Alert Center: alertas de actividad sospechosa en buzones.

Frameworks y guías:

• NIST SP 800-177: Trustworthy Email (implementación de SPF, DKIM, DMARC).
• CISA BEC Guidance: guía federal para prevención y respuesta.
• MITRE ATT&CK T1566.002 (Spearphishing Link) y T1534 (Internal Spearphishing): técnicas relacionadas.

Respuesta y recuperación:

• FBI IC3 Recovery Asset Team (RAT): coordinación de recuperación de fondos.
• INTERPOL Financial Crimes unit: para casos internacionales.
• European Cybercrime Centre (EC3) de Europol: casos dentro de la UE.