Los ataques de Compromiso del Correo Electrónico Empresarial (BEC) se han convertido en una de las amenazas cibernéticas más devastadoras financieramente para las organizaciones. En 2025, los ataques BEC representaron $3.04 mil millones, y los atacantes utilizan tácticas cada vez más sofisticadas para crear comunicaciones fraudulentas más convincentes y personalizadas [1].

A medida que los actores maliciosos continúan evolucionando sus métodos, las medidas de seguridad tradicionales resultan insuficientes. La clave para detener los ataques BEC es implementar protocolos sólidos de autenticación del correo electrónico que impidan a los atacantes suplantar a tu organización desde el principio.

A diferencia de los ataques tradicionales basados en malware, los esquemas BEC explotan la psicología humana en vez de vulnerabilidades técnicas. Los atacantes estudian minuciosamente las jerarquías organizativas, los patrones de comunicación y los procesos de negocios para diseñar intentos de suplantación convincentes que logran evadir los controles de seguridad convencionales.

• No contienen archivos adjuntos ni URL maliciosas, por lo que los correos electrónicos BEC parecen legítimos y no activan los filtros de seguridad tradicionales
• Explotan relaciones de confianza suplantando a directivos, proveedores o socios de confianza
• Apuntan a transacciones de alto valor como transferencias bancarias, pagos de facturas y solicitudes de datos sensibles
• Utilizan la ingeniería social en vez de indicadores técnicos de compromiso, lo que dificulta su detección

Las estadísticas muestran un panorama preocupante sobre el crecimiento del impacto del BEC:

• Los ataques BEC cuestan en promedio $4.89 millones por incidente, convirtiéndolos en el segundo tipo de brecha más costoso y representan el 73% de todos los incidentes cibernéticos reportados en 2024. [2]
• El promedio de solicitudes de transferencia bancaria derivadas de ataques BEC fue de $24,586 a inicios de 2025
• En los últimos tres años, las pérdidas reportadas por BEC alcanzaron casi $8.5 mil millones solo en Estados Unidos [3]

• Los ataques BEC crecieron un 30% anual hasta marzo de 2025 [2]
• Los ataques BEC conforman más del 50% de todos los incidentes de ingeniería social
• Incluso organizaciones pequeñas (menos de 1,000 empleados) enfrentan una probabilidad semanal del 70% de experimentar al menos un intento de BEC

• Los ataques BEC de transferencias bancarias aumentaron un 24% respecto al trimestre anterior [4]
• Los atacantes usan cada vez más herramientas de IA para crear comunicaciones fraudulentas más sofisticadas y convincentes [1]
• Los ataques de Compromiso del Correo Electrónico de Proveedores (VEC) aumentaron un 66% en la primera mitad de 2024 [5]

Comprender cómo funcionan los ataques BEC es crucial para construir defensas efectivas. El FBI identifica cinco tipos principales de estafas BEC:

Los atacantes suplantan a ejecutivos para solicitar transferencias bancarias urgentes o información sensible. Estos ataques explotan la tendencia psicológica de los empleados a cumplir las órdenes de figuras de autoridad, usando lenguaje urgente y presión de tiempo para saltarse los procedimientos normales de verificación.

Los ciberdelincuentes acceden a cuentas legítimas de empleados y las usan para solicitar pagos a proveedores o redirigir fondos a cuentas fraudulentas. Este método es especialmente peligroso porque los correos provienen de cuentas auténticas, dificultando su detección.

Los estafadores se hacen pasar por proveedores y presentan facturas falsas o solicitan cambios en los datos de pago. Frecuentemente apuntan a los departamentos de cuentas por pagar y aprovechan la rutina de los pagos a proveedores.

Los atacantes suplantan a abogados o representantes legales, habitualmente dirigidos a empleados de menor nivel que no cuestionan la validez de la solicitud. Estos ataques suelen coincidir con eventos corporativos significativos como fusiones o adquisiciones.

Estos ataques tienen como objetivo a empleados de RRHH para obtener información personal sobre ejecutivos y otros empleados, que luego se puede utilizar en futuros ataques o vender en la web oscura.

Aunque los ataques BEC explotan vulnerabilidades humanas, la estrategia de prevención más efectiva parte de controles técnicos que evitan que los atacantes suplan a tu organización desde el principio. Aquí es donde Red Sift OnDMARC [6] se vuelve esencial.

Red Sift OnDMARC es una aplicación automatizada de DMARC galardonada [7], que ayuda a las organizaciones a detener la suplantación exacta de dominios y los ataques de compromiso del correo electrónico empresarial mediante:

• Ruta sencilla hacia la aplicación de DMARC: Domain-based Message Authentication, Reporting, and Conformance (DMARC) es un método esencial de autenticación del correo que bloquea los correos maliciosos enviados en nombre de tu organización cuando se implementa con la política más estricta p-reject (aplicación). Red Sift OnDMARC ayuda a los clientes a lograr la aplicación total en solo 6-8 semanas.
• Prevención del uso no autorizado de dominios: OnDMARC evita que los atacantes envíen e-mails que parecen provenir de tus dominios, eliminando la base de la mayoría de los ataques BEC.
• Autenticación automatizada de correo: La plataforma simplifica el despliegue y la gestión de DMARC, DomainKeys Identified Mail (DKIM) y Sender Policy Framework (SPF), asegurando que solo correos legítimos de tu organización lleguen a los destinatarios.
• Detección de amenazas en tiempo real: OnDMARC monitoriza continuamente la actividad del correo y proporciona visibilidad sobre intentos de suplantación, facilitando una respuesta rápida ante amenazas emergentes, impulsado por soporte mejorado de LLM gracias a Red Sift Radar.
• Gestión dinámica de servicios: A diferencia de los enfoques tradicionales basados en DNS, los Dynamic Services de OnDMARC te permiten gestionar todos los registros de autenticación de correo desde una sola interfaz, reduciendo errores de configuración y acelerando la implementación.

• Investigate checker: La característica exclusiva Investigate de OnDMARC permite probar cambios de configuración en tiempo real, sin esperar hasta 24 horas por datos DMARC, lo que reduce drásticamente el tiempo necesario para la implementación.
• DNS Guardian: Esta función monitoriza continuamente tu configuración DNS para impedir SubdoMailing, DNS colgantes y secuestros de CNAME que los atacantes pueden explotar para evadir DMARC.
• Insights impulsados por IA: Red Sift Radar ofrece análisis basados en IA para identificar desconfiguraciones y brechas de seguridad antes de que los atacantes las aprovechen.
• Informes completos: Analíticas detalladas te ayudan a comprender tu ecosistema de correo y detectar posibles vulnerabilidades o actividades sospechosas.

Si bien la autenticación del correo es la base de la prevención de BEC, una estrategia completa requiere de varias capas de defensa:

1. Despliega DMARC en p=reject. Incluso con la política p=quarantine, los atacantes aún pueden causar daño.
2. Utiliza Red Sift OnDMARC para alcanzar la aplicación total en 6-8 semanas
3. Supervisa los informes DMARC para identificar remitentes legítimos y amenazas potenciales

1. Implementa MFA en todas las cuentas de correo y sistemas críticos
2. Utiliza métodos de MFA resistentes a phishing cuando sea posible
3. Audita y actualiza las configuraciones de MFA regularmente

1. Utiliza soluciones de filtrado de correo impulsadas por IA que analicen patrones de comportamiento
2. Implementa analítica de comportamiento de usuarios y entidades (UEBA) para detectar actividades inusuales
3. Habilita capacidades automáticas de respuesta ante amenazas

1. Requiere verificación por canal alternativo para todo cambio de pago y transferencias bancarias
2. Implementa aprobaciones duales para transacciones financieras superiores a ciertos umbrales
3. Crea rutas claras de escalamiento ante solicitudes sospechosas

1. Crea procedimientos específicos para tratar ataques BEC sospechosos
2. Establece protocolos de comunicación con bancos y autoridades
3. Practica escenarios de respuesta a incidentes regularmente

1. Realiza revisiones periódicas de las configuraciones de seguridad de correo
2. Prueba los procedimientos de verificación con simulaciones de ataques BEC
3. Audita regularmente el acceso y permisos de los usuarios

1. Realiza formación específica por función para departamentos de alto riesgo (Finanzas, RRHH, Asistentes Ejecutivos)
2. Usa ejemplos reales y simulaciones de ataques BEC
3. Brinda formación y actualizaciones regulares sobre amenazas emergentes

1. Anima a los empleados a reportar correos sospechosos sin temor a represalias
2. Reconoce y recompensa los buenos comportamientos de seguridad
3. Crea canales de comunicación claros para preocupaciones de seguridad

1. Asegura que la dirección comprenda y respalde los esfuerzos de prevención BEC
2. Establece políticas y procedimientos claros para transacciones financieras
3. Predica con el ejemplo en comportamientos de seguridad en toda la organización

Diversos sectores enfrentan distintos niveles de riesgo BEC y pueden requerir enfoques personalizados:

• Enfrentan altas tasas de ataque debido a su acceso a sistemas financieros y datos sensibles
• Requieren procedimientos de verificación reforzados para todas las transacciones financieras
• Deben cumplir estrictos requisitos regulatorios de prevención de fraude

• Son objetivo tanto de fraudes financieros como de robo de datos
• Deben proteger información de pacientes manteniendo la eficiencia operativa
• Enfrentan desafíos únicos por tener redes diversas de centros y proveedores externos

• A menudo son atacados por sus complejas redes de proveedores y transacciones de alto valor
• Necesitan asegurar las comunicaciones de su cadena de suministro
• Deben equilibrar seguridad y eficiencia operativa

• Son objetivos de alto valor por la confidencialidad de los clientes y las transacciones financieras
• Requieren protección reforzada para las comunicaciones con clientes
• Deben mantener el privilegio abogado-cliente al implementar medidas de seguridad

Para asegurar que tu estrategia de prevención BEC es efectiva, monitorea estas métricas clave:

• Tasa de aplicación de la política DMARC (objetivo: 100% en p=reject)
• Porcentaje de autenticación de correo exitoso para remitentes legítimos
• Tiempo de detección y respuesta ante intentos de suplantación
• Reducción en la entrega de correos no autenticados

• Número de intentos BEC detectados y bloqueados
• Tasa de reportes de empleados para correos sospechosos
• Tiempo para verificar y procesar solicitudes financieras legítimas
• Tiempo de respuesta ante incidentes BEC sospechosos

• Reducción de pérdidas financieras por fraudes de correo electrónico
• Mejora en las tasas de entregabilidad del correo
• Ahorro de costos por procesos de seguridad automatizados
• Métricas de confianza del cliente y reputación de marca

A medida que los ataques BEC continúan evolucionando, las organizaciones deben anticiparse a amenazas emergentes:

• Espera más contenido sofisticado generado por IA que será más difícil de detectar
• Prepárate para llamadas de voz y video deepfake como parte de esquemas BEC
• Invierte en sistemas de defensa con IA capaces de detectar anomalías sutiles

• Los ataques BEC se expanden más allá del correo, incluyendo SMS, llamadas y plataformas colaborativas, usando múltiples métodos de ingeniería social
• Implementa medidas de seguridad en todos los canales de comunicación
• Capacita a los empleados para reconocer amenazas en múltiples plataformas

• Los atacantes cada vez más apuntan a relaciones con proveedores y socios
• Extiende las medidas de seguridad a las comunicaciones con terceros
• Implementa programas de gestión de riesgos de proveedores

Proteger tu organización de los ataques BEC requiere acción inmediata y vigilancia continua. Así puedes empezar:

• Haz una revisión gratuita de DMARC con la herramienta Investigate de Red Sift
• Identifica brechas en tu configuración de autenticación de correo, mostrando dónde debes actuar
• Documenta las fuentes desde las que tu organización envía correos electrónicos

• Establece verificación adicional fuera de canal para todas las transferencias bancarias
• Crea un procedimiento de devolución de llamada para solicitudes financieras inusuales
• Pon al tanto al personal clave sobre los métodos de ataque BEC (usa esta guía si es útil)

• Comienza con una prueba gratuita de 14 días para evaluar tu entorno
• Obtén orientación sobre próximos pasos del equipo de Red Sift sobre cómo mantenerte seguro
• Comienza el proceso hacia la aplicación de DMARC

• Imparte capacitación específica en BEC a los departamentos de más alto riesgo
• Implementa simulaciones regulares de phishing para debilitar el impacto de la ingeniería social en tu organización y empleados
• Establece procedimientos claros para reportar correos sospechosos

• Alcanza la política p=reject en todos los dominios
• Implementa BIMI para mejorar la entregabilidad y el reconocimiento de marca
• Extiende la protección a todos los subdominios y comunicaciones con socios

• Despliega soluciones avanzadas de seguridad para el correo
• Implementa analítica de comportamiento y detección de amenazas con IA
• Establece un monitoreo continuo y capacidades de respuesta ante incidentes

Los ataques de Compromiso del Correo Electrónico Empresarial representan una de las amenazas de ciberseguridad más relevantes para las organizaciones. Con pérdidas que alcanzan los $2.8 mil millones solo en 2024 y una sofisticación creciente en los ataques, las medidas de seguridad tradicionales ya no son suficientes.

La clave para prevenir el BEC de forma efectiva radica en implementar una estrategia integral que combine controles técnicos robustos, procesos claros y una concienciación de seguridad constante. En la base de esta estrategia se encuentra la autenticación de correo mediante DMARC, que impide que los atacantes suplanten a tu organización.

Red Sift OnDMARC ofrece la plataforma automatizada e inteligente que las organizaciones necesitan para lograr la aplicación de DMARC completa de forma rápida y fiable. Con funciones como Dynamic Services, detección de amenazas en tiempo real e insights impulsados por IA, OnDMARC ayuda a detener los ataques BEC antes de que causen daño.

No esperes a ser víctima de un ataque. Protege hoy a tu organización, empleados y clientes frente a la creciente amenaza del Compromiso del Correo Electrónico Empresarial.

Inicia tu prueba gratuita de 14 días de Red Sift OnDMARC o haz una revisión gratuita de DMARC para evaluar tu postura de seguridad actual.

[1] Informe IC3 del FBI. "FBI Internet Crime Report 2025." https://www.ic3.gov/AnnualReport/Reports/2025_IC3Report.pdf

[2] Hoxhunt. "Business Email Compromise Statistics 2025 (+Prevention Guide)." https://hoxhunt.com/blog/business-email-compromise-statistics

[3] NACHA. "FBI's IC3 Finds Almost $8.5 Billion Lost to Business Email Compromise in Last Three Years." https://www.nacha.org/news/fbis-ic3-finds-almost-85-billion-lost-business-email-compromise-last-three-years

[4] Trans Union. "Rising Incidents of BEC and Wire Fraud: Tales from the Front Lines." https://www.transunion.com/blog/bec-wire-fraud-incidents 

[5] Business Email Compromise Statistics https://hoxhunt.com/blog/business-email-compromise-statistics 

[6] Red Sift. "Protect against phishing and BEC attacks with Red Sift OnDMARC." https://redsift.com/pulse-platform/ondmarc

[7] Red Sift. "From Europe to Asia Pacific: OnDMARC earns global recognition in G2’s Fall Report." https://blog.redsift.com/awards/from-europe-to-asia-pacific-ondmarc-earns-global-recognition-in-g2s-fall-report/