Cuando el correo interno traiciona. El fraude BEC

Cuando el correo interno traiciona. El fraude BEC

Un ciberataque BEC (Business Email Compromise) puede vaciar cuentas, filtrar datos personales y dejar a una pyme con sanciones regulatorias si no actúa con rapidez.

Este artículo explica cómo reconocer la amenaza, qué obligaciones legales entran en juego y qué pasos prácticos se deben implantar ya mismo.

La puerta trasera del correo

Imagina la persona que desempeña funciones contables en una empresa que, tras una fusión reciente, recibe un mensaje aparentemente del departamento de compras solicitando un pago inmediato a una nueva cuenta bancaria.

El remitente usa una dirección muy parecida a la real y aporta documentos con el logo de siempre. En lugar de un exploit técnico, el atacante ha aprovechado información pública y acceso a una cuenta legítima para provocar una reacción rápida y no verificada.

En la práctica, estos engaños se alimentan de procesos internos débiles y de la costumbre de actuar sin contrastar cuando alguien pide urgencia.

Por qué la seguridad pura no resuelve el problema

Muchas empresas piensan que basta con filtros antiphishing o con antivirus para estar protegidas, pero el BEC explota la confianza y los fallos organizativos más que una vulnerabilidad técnica clara.

Incluso si el correo entra por una cuenta legítima (comprometida por credenciales robadas o por un proveedor infectado), las defensas tradicionales pueden no detectar la anomalía. Esto obliga a combinar controles técnicos con barreras organizativas y rutinas de verificación humana.

No solo dinero. Riesgos legales y de privacidad:

Además de la pérdida financiera directa, un incidente BEC puede implicar una violación de datos personales: listados de empleados, datos fiscales o facturas contienen información protegida por el RGPD y la LOPDGDD.

Si se confirma una brecha, la empresa puede tener que notificar a la autoridad de control (AEPD) en el plazo legal (normalmente 72 horas según el artículo 33 del RGPD) y, si existe un riesgo alto para los derechos de las personas, se deberá informar a los afectados. Para ambas cuestiones, se precisará de una evaluación interna y previa.

En sectores regulados o si la empresa presta servicios críticos, también deben valorarse obligaciones de notificación y continuidad bajo marcos como la NIS2; por su parte, instrumentos como la firma electrónica cualificada (eIDAS) o servicios de confianza reducen la superficie de suplantación.

Protocolo práctico y cultural para evitar caer

La prevención más efectiva parte de imponer pequeños frenos que no entorpecen el negocio, por ejemplo, determinar canales alternativos para confirmar transferencias importantes (llamada, firma digital o app de mensajería corporativa verificada) y exigir al menos dos autorizaciones independientes para pagos superiores a un umbral definido.

También conviene reducir la exposición de información sensible en la web y en redes sociales, y aplicar autenticación multifactor a todas las cuentas de correo corporativas y proveedores.

Controles inmediatos recomendados:

  • Autenticación multifactor
  • Lista blanca de cuentas críticas
  • Validación por canal distinto
  • Registro de cambios bancarios
  • Bloqueo temporal de transferencias fuera de horario

Si ocurre actuar rápido y documentarlo

Actuar con rapidez limita el daño. Detener transferencias, preservar copias de los correos, cambiar credenciales afectadas y notificar al banco son los primeros pasos.

En primer lugar informar al Delegado de Protección de Datos, para recibir asesoramiento sobre cómo actuar en estos casos. Servirá como guía en estas situaciones tan críticas, garantizando el cumpliendo de la Normativa vigente.

Simultáneamente, el Responsable de Privacidad Protección de Datos (o la persona designada internamente) junto al Departamento de Tecnologías de la Información deberá analizar el alcance de la brecha de datos personales (es posible que se necesite asistencia externa en ciberseguridad para disponer de un análisis forense) y evaluar la necesidad de notificación a la autoridad competente y comunicar a las personas afectadas.

Mantener una trazabilidad de las acciones realizadas es clave, para ello, los registros serán necesarios tanto para la respuesta judicial como para demostrar cumplimiento ante inspecciones regulatorias.

Pasos esenciales tras detectar un BEC:

  • Aislar la cuenta comprometida
  • Recopilar evidencias
  • Comunicar a finanzas y a la dirección
  • Activar el plan de incidente.

Formación en seguridad de la información

Formar a los trabajadores en Seguridad de la Información, basada en la norma ISO 27001 no es una opción estratégica secundaria, sino una necesidad empresarial real.

La mayoría de brechas de seguridad no se producen por fallos tecnológicos, sino por errores humanos, por lo que exige concienciación, concienciación y formación continua del personal, porque la seguridad no depende solo de políticas escritas, sino de comportamientos diarios.

Cuando los empleados comprenden los riesgos y saben cómo actuar, la organización reduce incidentes, protege su reputación y demuestra diligencia ante clientes, socios y autoridades.

Solicita tu formación en Seguridad de la Información, contactándonos en el email: info@businessadapter.es,  también puedes llamar al 96 131 88 04, o deja tu mensaje en nuestro formulario:

Consúltanos, estaremos encantados de ayudarte
error: Content is protected !!