BEC: fraude del CEO y suplantación de proveedor

Qué es

BEC (Business Email Compromise) es un fraude dirigido que combina ingeniería social y, a veces, acceso real a una cuenta corporativa. El atacante hace pasar un correo por suyo de un directivo, un proveedor o un abogado, para inducir una transferencia bancaria fraudulenta, un cambio de cuenta de cobro, o el envío de datos sensibles (nóminas, W-2, IBAN de empleados).

Variantes

1. Fraude del CEO: "Estoy en reunión, necesito que prepares una transferencia urgente y confidencial". Se dirige a finanzas, RRHH o admin.
2. Fraude del proveedor (vendor email compromise): el atacante compromete la cuenta de un proveedor real, espera al envío de una factura legítima y responde pidiendo pagarla a una cuenta "actualizada". Es el más difícil de detectar porque el hilo es legítimo.
3. Suplantación del abogado/M&A: invoca confidencialidad por una "operación" para evitar verificación.
4. Fraude de nóminas: solicita cambio de cuenta bancaria del propio empleado en el portal de RRHH.

Señales

• Dominio con cambio mínimo: arc0de.com con cero, arcode-corp.com añadiendo sufijo, dominio plausible pero distinto.
• Solicitud urgente con confidencialidad: la confidencialidad sirve para que la víctima no contraste con compañeros.
• Cambio de canal: el remitente pide "no me llames, contesta por email". Está bloqueando la verificación.
• Pago a IBAN nuevo o extranjero, sobre todo si rompe un patrón habitual con el proveedor.
• Diferencias sutiles de estilo: tono más cortante o más formal de lo habitual del remitente real.

Procedimiento de pagos

La única defensa fiable es procedimiento, no atención individual:

• Doble validación para transferencias por encima de un umbral (p. ej. 5.000 €) o a beneficiarios nuevos.
• Verificación por canal independiente: si el correo pide pagar, llama al teléfono que ya tienes registrado del proveedor o del directivo. No uses el teléfono que aparece en el correo.
• Lista blanca de IBAN por proveedor en el ERP. Cambios solo con doble firma y verificación verbal.
• Política conocida y entrenada: el CEO firma un email diciendo "nunca pediré una transferencia urgente por correo; si recibís uno así, ignoradlo y avisad".

A nivel correo

• DMARC en reject sobre el dominio corporativo.
• Etiqueta "[EXTERNO]" en correos que vienen de fuera (los BEC clásicos casi siempre vienen de dominios externos parecidos).
• Detección de spoofing de display name en el servidor.
• MFA obligatorio para todos los usuarios (evita el VEC, donde el atacante usa la cuenta real del proveedor).

Si crees que has pagado un BEC

1. Llama al banco inmediatamente y pide bloqueo / reverso. Las primeras 24h-72h son críticas: la IC3 Recovery Asset Team consigue recuperar fondos en muchos casos solo si la alerta llega rápido.
2. Denuncia a Policía / Guardia Civil (delito tipificado).
3. Conserva todo: correos, cabeceras, capturas, IBAN de destino, hora de la operación.
4. Avisa al equipo de seguridad y a Dirección Financiera: hay que revisar si hay más correos en curso, si la cuenta del remitente legítimo está comprometida, y bloquear nuevos intentos.