Los ataques de Business Email Compromise (BEC) se han convertido en una de las amenazas cibernéticas más devastadoras económicamente que enfrentan las organizaciones hoy en día. Solo en 2024, los ataques BEC provocaron casi 2,8 mil millones de dólares en pérdidas reportadas, con atacantes utilizando tácticas cada vez más sofisticadas para crear comunicaciones fraudulentas convincentes y personalizadas [1].

A medida que los ciberdelincuentes siguen evolucionando sus métodos, las medidas de seguridad tradicionales están resultando insuficientes. La clave para detener los ataques BEC reside en implementar protocolos sólidos de autenticación de correo electrónico que impidan que los atacantes suplanten a tu organización desde el principio.

A diferencia de los ataques tradicionales basados en malware, las estrategias de BEC explotan la psicología humana en lugar de vulnerabilidades técnicas. Los atacantes estudian meticulosamente la jerarquía organizacional, los patrones de comunicación y los procesos empresariales para crear intentos de suplantación que logran eludir los controles de seguridad convencionales.

• No contienen archivos adjuntos maliciosos ni URLs, por lo que los correos BEC parecen legítimos y no activan los filtros de seguridad tradicionales
• Explotan las relaciones de confianza suplantando a directivos, proveedores o socios de confianza
• Apuntan a transacciones de alto valor como transferencias bancarias, pagos de facturas y solicitudes de datos sensibles
• Utilizan ingeniería social en lugar de indicadores técnicos de compromiso, lo que los hace difíciles de detectar

Las estadísticas muestran un panorama preocupante sobre el creciente impacto del BEC:

• Los ataques BEC cuestan en promedio 4,89 millones de dólares por incidente, lo que los convierte en el segundo tipo de brecha más costoso, y representaron el 73% de todos los incidentes cibernéticos reportados en 2024. [2]
• La solicitud promedio de transferencia bancaria a causa de un ataque BEC fue de $24,586 a principios de 2025
• En los últimos tres años, las pérdidas registradas por BEC alcanzaron casi 8,5 mil millones de dólares solo en Estados Unidos [3]

• Los ataques BEC crecieron un 30% interanual hasta marzo de 2025 [2]
• Los ataques BEC representan más del 50% de todos los incidentes de ingeniería social
• Incluso las organizaciones pequeñas (menos de 1.000 empleados) tienen un 70% de probabilidad semanal de experimentar al menos un intento de BEC

• Los ataques BEC dirigidos a transferencias bancarias aumentaron un 24% respecto al trimestre anterior [4]
• Los atacantes utilizan cada vez más herramientas de IA para crear comunicaciones fraudulentas más sofisticadas y convincentes [1]
• Los ataques de Vendor Email Compromise (VEC) aumentaron un 66% en la primera mitad de 2024 [5]

Comprender cómo funcionan los ataques BEC es fundamental para establecer defensas eficaces. El FBI identifica cinco grandes tipos de estafas BEC:

Los atacantes suplantan a directivos para solicitar transferencias urgentes de dinero o información sensible. Estos ataques explotan la tendencia psicológica de los empleados a acatar las órdenes de figuras de autoridad, usando lenguaje urgente y presión de tiempo para evadir los procedimientos normales de verificación.

Los ciberdelincuentes obtienen acceso a cuentas legítimas de empleados y las utilizan para solicitar pagos a proveedores o redirigir fondos a cuentas fraudulentas. Este método es especialmente peligroso porque los correos provienen de cuentas genuinas, dificultando su detección.

Los estafadores se hacen pasar por proveedores y envían facturas falsas o solicitan cambios en los datos de pago. Estos ataques suelen dirigirse a los departamentos de cuentas por pagar y explotan la rutina de los pagos a proveedores.

Los atacantes suplantan abogados o representantes legales, habitualmente enfocándose en empleados de menor rango que no cuestionarán la validez de la solicitud. Estos ataques suelen coincidir con eventos corporativos significativos como fusiones o adquisiciones.

Estos ataques se dirigen a empleados de recursos humanos para obtener información personal sobre directivos y empleados, que luego puede usarse para futuros ataques o venderse en la dark web.

Aunque los ataques BEC explotan vulnerabilidades humanas, la estrategia preventiva más eficaz comienza con controles técnicos que impiden que los atacantes suplanten a tu organización desde un principio. Aquí es donde Red Sift OnDMARC [6] se vuelve esencial.

Red Sift OnDMARC es una aplicación DMARC automatizada y galardonada [7] que ayuda a las organizaciones a detener la suplantación exacta de dominio y los ataques de compromiso del correo empresarial mediante:

• Camino sencillo hacia la aplicación de DMARC: Domain-based Message Authentication, Reporting, and Conformance (DMARC) es un método esencial de autenticación de correo electrónico que bloquea los correos maliciosos enviados en nombre de tu organización cuando se implementa con la política más restrictiva (p-reject). Red Sift OnDMARC ayuda a los clientes a alcanzar la aplicación en solo 6-8 semanas.
• Prevención de uso no autorizado del dominio: OnDMARC impide que los atacantes envíen correos que parezcan proceder de tus dominios, eliminando la base de la mayoría de los ataques BEC.
• Autenticación de correo automatizada: La plataforma simplifica el despliegue y gestión de los protocolos DMARC, DomainKeys Identified Mail (DKIM) y Sender Policy Framework (SPF), asegurando que solo los correos legítimos de tu organización lleguen a los destinatarios.
• Detección de amenazas en tiempo real: OnDMARC monitoriza de forma continua la actividad de correo y ofrece visibilidad sobre posibles intentos de suplantación, permitiendo responder rápidamente ante nuevas amenazas, con el apoyo del soporte avanzado de LLM a través de Red Sift Radar.
• Gestión dinámica de servicios: A diferencia de los enfoques tradicionales basados en DNS, los servicios dinámicos de OnDMARC te permiten administrar todos los registros de autenticación de correo desde una única interfaz, reduciendo errores en la configuración y acelerando la implementación.

• Investigate checker: La funcionalidad exclusiva Investigate de OnDMARC permite probar actualizaciones de configuración en tiempo real, reduciendo drásticamente el tiempo necesario para implementar DMARC al evitar esperar hasta 24 horas por los datos.
• DNS Guardian: Esta función monitoriza continuamente tu configuración DNS para evitar SubdoMailing, DNS inactivos y secuestros de CNAME que los atacantes podrían aprovechar para eludir DMARC.
• Análisis impulsados por IA: Red Sift Radar proporciona análisis basados en inteligencia artificial para identificar errores de configuración y brechas de seguridad antes de que los atacantes puedan aprovecharlos.
• Reportes integrales: Analíticas detalladas te ayudan a comprender tu ecosistema de correo electrónico e identificar vulnerabilidades potenciales o actividades sospechosas.

Si bien la autenticación de correo constituye la base de la prevención del BEC, una estrategia completa requiere múltiples capas de defensa:

1. Despliega DMARC con p=reject. Incluso una política p=quarantine permite que actores maliciosos generen daño.
2. Usa Red Sift OnDMARC para lograr la aplicación total en 6-8 semanas
3. Monitorea los reportes DMARC para identificar remitentes legítimos y amenazas potenciales

1. Implementa MFA en todas las cuentas de correo y sistemas críticos
2. Utiliza métodos de MFA resistentes al phishing siempre que sea posible
3. Revisa y actualiza periódicamente la configuración de MFA

1. Utiliza soluciones de filtrado de correo basadas en IA que analicen patrones de comportamiento
2. Implementa analíticas de comportamiento de usuarios y entidades (UEBA) para detectar actividades inusuales
3. Habilita capacidades de respuesta automatizada ante amenazas

1. Exige verificación fuera de banda para todos los cambios de pago y transferencias bancarias
2. Implementa procesos de doble aprobación para transacciones financieras por encima de ciertos umbrales
3. Crea rutas claras de escalamiento ante solicitudes sospechosas

1. Diseña procedimientos específicos para la gestión de sospechas de ataques BEC
2. Establece protocolos de comunicación con bancos y autoridades
3. Practica escenarios de respuesta a incidentes regularmente

1. Lleva a cabo revisiones periódicas de la configuración de correo electrónico
2. Prueba los procedimientos de verificación con simulaciones de ataques BEC
3. Percibe y audita los accesos y permisos de los usuarios regularmente

1. Imparte formación específica por rol para los departamentos de alto riesgo (Finanzas, RRHH, Asistentes de Dirección)
2. Utiliza ejemplos reales y ataques BEC simulados
3. Proporciona formación continua y actualizaciones sobre amenazas emergentes

1. Anima a los empleados a reportar correos sospechosos sin miedo a consecuencias
2. Reconoce y premia las buenas prácticas de seguridad
3. Crea canales de comunicación claros para inquietudes de seguridad

1. Asegura que los líderes comprendan y respalden las iniciativas de prevención BEC
2. Establece políticas y procedimientos claros para las transacciones financieras
3. Promueve comportamientos seguros en toda la organización dando ejemplo

Diferentes sectores enfrentan distintos niveles de riesgo BEC y pueden requerir enfoques a medida:

• Alto grado de ataque debido al acceso a sistemas financieros y datos sensibles
• Necesitan procedimientos de verificación reforzados para todas las transacciones financieras
• Deben cumplir con estrictos requisitos regulatorios para la prevención del fraude

• Atacados tanto para fraude financiero como para robo de datos
• Deben proteger la información de los pacientes sin afectar la eficiencia operativa
• Se enfrentan a retos únicos debido a la variedad de instalaciones y proveedores externos

• Suelen ser objetivo por redes de proveedores complejas y transacciones de grandes montos
• Necesitan asegurar la comunicación en la cadena de suministro
• Deben equilibrar seguridad y eficiencia operativa

• Objetivos de alto valor por la confidencialidad con clientes y las transacciones financieras
• Requieren protección reforzada para las comunicaciones con clientes
• Deben mantener el privilegio abogado-cliente al implementar medidas de seguridad

Para garantizar la eficacia de tu estrategia de prevención BEC, monitoriza estas métricas clave:

• Tasa de aplicación de la política DMARC (objetivo: 100% en p=reject)
• Tasa de autenticación de correo para remitentes legítimos
• Tiempo para detectar y responder ante intentos de suplantación
• Reducción de la entrega de correos no autenticados

• Número de intentos BEC detectados y bloqueados
• Tasa de reporte de correos sospechosos por parte de los empleados
• Tiempo para verificar y procesar solicitudes financieras legítimas
• Tiempo de respuesta ante incidentes de sospecha de ataques BEC

• Reducción de pérdidas financieras por fraude de correo
• Mejora en la tasa de entregabilidad de correos
• Ahorro en costos por procesos de seguridad automatizados
• Métricas de confianza del cliente y reputación de marca

A medida que los ataques BEC siguen evolucionando, las organizaciones deben anticiparse a las amenazas emergentes:

• Espera contenido sofisticado generado por IA que será más difícil de detectar
• Prepárate para llamadas de voz y vídeo “deepfake” como parte de esquemas BEC
• Invierte en sistemas defensivos basados en IA que detecten anomalías sutiles

• Los ataques BEC ya no se limitan al correo: incluyen SMS, llamadas y plataformas de colaboración, desplegando diversas tácticas de ingeniería social
• Implementa medidas de seguridad en todos los canales de comunicación
• Capacita a los empleados para identificar amenazas en múltiples plataformas

• Los atacantes se centran cada vez más en los proveedores y socios
• Extiende las medidas de seguridad a las comunicaciones con terceros
• Implementa programas de gestión de riesgos de proveedores

Proteger tu organización frente a los ataques BEC requiere acción inmediata y vigilancia continua. Así es como puedes empezar:

• Realiza una revisión DMARC gratuita con Investigate de Red Sift
• Identifica carencias en la autenticación de correo actual, mostrando dónde debes actuar
• Documenta todas las fuentes de envío de correo de tu organización

• Establece verificación fuera de banda para todas las transferencias bancarias
• Crea un procedimiento de llamada para solicitudes financieras inusuales
• Informa al personal clave sobre los métodos de ataque BEC (utiliza esta guía si es útil)

• Comienza con una prueba gratuita de 14 días para evaluar tu entorno
• Obtén orientación de Red Sift para mantener la seguridad
• Inicia el camino hacia la aplicación total de DMARC

• Ofrece formación específica sobre BEC a los departamentos de alto riesgo
• Realiza simulaciones de phishing de forma regular para debilitar las tácticas de ingeniería social en tu organización y empleados
• Establece procedimientos claros para reportar correos sospechosos

• Llega a la política p=reject en todos los dominios
• Implementa BIMI para mejorar la entregabilidad y el reconocimiento de marca
• Extiende la protección a todos los subdominios y comunicaciones con socios

• Despliega soluciones avanzadas para la seguridad del correo
• Implementa analíticas de comportamiento y detección de amenazas impulsada por IA
• Establece monitorización continua y capacidades de respuesta a incidentes

Los ataques de Business Email Compromise representan una de las amenazas de ciberseguridad más significativas para las organizaciones en la actualidad. Con pérdidas que alcanzan los 2,8 mil millones de dólares solo en 2024 y una sofisticación creciente, las medidas de seguridad tradicionales ya no son suficientes.

La clave para una prevención eficaz reside en implementar una estrategia integral que combine controles técnicos sólidos, procesos bien definidos y formación continua en seguridad. El pilar de esta estrategia es la autenticación del correo mediante DMARC, que evita que los atacantes suplanten a tu organización desde el principio.

Red Sift OnDMARC proporciona una plataforma automatizada e inteligente para lograr rápidamente la aplicación total de DMARC. Con funciones como servicios dinámicos, detección de amenazas en tiempo real y análisis de IA, OnDMARC ayuda a las organizaciones a frenar los ataques BEC antes de que causen daños.

No esperes a que ocurra un ataque. Actúa hoy mismo para proteger a tu organización, tus empleados y tus clientes frente a la creciente amenaza de Business Email Compromise.

Empieza tu prueba gratuita de 14 días de Red Sift OnDMARC o realiza una revisión DMARC gratuita para evaluar tu estado actual de seguridad.

[1] VIPRE Security. "Business Email Compromise 2025: What, Who and Why." https://vipre.com/blog/business-email-compromise-2025-what-who-and-why/

[2] Hoxhunt. "Business Email Compromise Statistics 2025 (+Prevention Guide)." https://hoxhunt.com/blog/business-email-compromise-statistics

[3] NACHA. "FBI's IC3 Finds Almost $8.5 Billion Lost to Business Email Compromise in Last Three Years." https://www.nacha.org/news/fbis-ic3-finds-almost-85-billion-lost-business-email-compromise-last-three-years

[4] Trans Union. "Rising Incidents of BEC and Wire Fraud: Tales from the Front Lines." https://www.transunion.com/blog/bec-wire-fraud-incidents 

[5] Business Email Compromise Statistics https://hoxhunt.com/blog/business-email-compromise-statistics 

[6] Red Sift. "Protect against phishing and BEC attacks with Red Sift OnDMARC." https://redsift.com/pulse-platform/ondmarc

[7] Red Sift. "From Europe to Asia Pacific: OnDMARC earns global recognition in G2’s Fall Report." https://blog.redsift.com/awards/from-europe-to-asia-pacific-ondmarc-earns-global-recognition-in-g2s-fall-report/