El Business Email Compromise (BEC) se ha consolidado como uno de los ataques más rentables para los ciberdelincuentes y más dolorosos para las empresas. No necesita malware complejo ni exploits novedosos: se basa en algo mucho más difícil de parchear, que es la confianza y el comportamiento humano en torno al correo electrónico corporativo.

En el contexto de un CSIRT, un BEC no es solo “un phishing más”: impacta directamente en pagos, contratos, relaciones con proveedores y reputación, por lo que debe estar claramente contemplado en el Plan de Respuesta ante Incidentes (IRP) y en los procedimientos de análisis forense posterior.

1⃣ ¿Qué es un BEC en términos técnicos?

Un ataque de Business Email Compromise consiste en el uso fraudulento del correo empresarial para:

• Redirigir pagos o alterar información bancaria
• Modificar facturas o instrucciones de cobro
• Obtener información sensible o financiera
• Manipular decisiones internas (órdenes falsas de directivos)

Y esto se puede lograr principalmente de dos maneras:

• Compromiso real de la cuenta (el atacante tiene usuario/contraseña y accede a la bandeja)
• Suplantación muy creíble del dominio, remitente o proveedor (sin necesidad de comprometer cuentas internas)

Lo clave: en muchos casos no hay nada “malicioso” que el antivirus pueda detectar. El vector es ingeniería social + abuso del canal de correo.

2⃣ Cómo opera un BEC: ciclo de ataque explicado

Desde la óptica de un CSIRT, es útil ver el BEC como un ciclo con fases claras:

2.1. Reconocimiento

El atacante recopila toda la información posible sobre la organización:

• Identificación de:
  • Directivos, CFO, CEO, responsables de tesorería, contabilidad, compras.
• Búsqueda en:
  • Web corporativa, LinkedIn, redes sociales, noticias, filtraciones previas.
• Análisis de:
  • Patrones de formato de correo (firmas, pie de página, tono, idioma, horarios).

2.2. Punto de entrada

Aquí el atacante intenta conseguir acceso o capacidad de suplantar:

• Robo de credenciales mediante:
  • Spear phishing dirigido (páginas de login falsas).
  • Password spraying / fuerza bruta contra servicios de correo (O365, IMAP, webmail).
• Suplantación de dominio mediante:
  • Compra de dominios lookalike (empersa.com, empresa-co.com).
• Abuso de proveedor comprometido:
  • El correo malicioso llega desde una cuenta de un proveedor ya comprometida.

2.3. Compromiso o suplantación del correo

Una vez que el atacante está dentro o puede suplantar de forma creíble:

• Si compromete una cuenta real:
  • Inicia sesión y revisa hilos de facturas, pedidos, contratos.
  • Crea reglas de reenvío o borrado para ocultar su actividad.
• Si solo suplanta:
  • Envía correos diseñados para parecer internos o de proveedor confiable.
  • Se integra en cadenas de correo ya existentes (responder con RE:/FW: falsos).

2.4. Ejecución del fraude

El objetivo final suele ser económico:

• Solicitud de transferencias urgentes a cuentas controladas por el atacante.
• Cambio de datos bancarios para pagos recurrentes a proveedores.
• Petición de datos confidenciales (informes financieros, nóminas, etc.).

Su estilo suele incluir:

• Urgencia (“es para hoy”, “no digas nada a nadie”).
• Aparente legitimidad (tono, diálogo, contexto, firmas).

3⃣ Señales de alerta: qué debe vigilar un CSIRT

El IRP debe contemplar tanto indicadores técnicos, como patrones de comportamiento.

3.1. Indicadores técnicos

Algunos indicadores que deberían disparar alertas:

• Inicios de sesión desde:
  • Países inusuales o de alto riesgo.
  • Dispositivos o navegadores no vistos antes.
• Cambios repentinos en la cuenta:
  • Reglas de reenvío a direcciones externas.
  • Reglas para mover/borrar correos con ciertas palabras clave (factura, pago, transferencia).
• Actividad fuera de horario habitual del usuario.
• Aparición de dominios similares al corporativo en comunicaciones recientes.
• Aumento repentino de correos marcados como phishing con:
  • Nombre del CEO/CFO.
  • Referencias a pagos o cuentas bancarias.

3.2. Indicadores de comportamiento

El lado humano es igual de importante:

• Correos con:
  • Tono de urgencia exagerado
  • Solicitudes de confidencialidad (“no informes a otros departamentos”)
  • Cambios inesperados de procedimiento (nuevo IBAN, nueva plataforma de pago).
• Mensajes que aparentan venir de directivos que normalmente no tratan directamente con el destinatario.
• Pequeños errores:
  • Firma ligeramente distinta.
  • Idioma diferente al habitual.
  • Errores de ortografía no habituales en esa persona.

4⃣ Respuesta ante un BEC: IRP paso a paso

Un Plan de Respuesta ante Incidentes (IRP) para BEC debería definir claramente quién hace qué y en qué orden. De forma simplificada:

4.1. Detección y clasificación inicial

• Verificar la veracidad del correo sospechoso:
  • Contactar por un canal alternativo (teléfono, chat interno) al supuesto remitente.
• Clasificar el incidente:
  • ¿Solo intento fallido de phishing?
  • ¿Cuenta ya comprometida
  • ¿Transferencia ya realizada

4.2. Contención rápida

Si se confirma compromiso de cuenta:

• Forzar cambio de contraseña y, si es posible:
  • Revocar sesiones activas.
  • Revocar tokens de aplicaciones conectadas.
• Revisar y eliminar:
  • Reglas de reenvío sospechosas.
  • Reglas de borrado/movimiento automatizado.
• Activar / reforzar MFA (2FA) en las cuentas afectadas.

Si hay pagos en curso:

• Contactar de inmediato con:
  • Banco de la organización.
  • Banco receptor (si se conoce).
  • Departamento legal y dirección.

4.3. Erradicación y análisis forense

Una vez contenida la actividad:

• Analizar:
  • Desde cuándo está comprometida la cuenta.
  • Qué hilos de correo se han leído o manipulado.
  • Qué correos se han enviado desde la cuenta afectada.
• Revisar:
  • Logs de autenticación, cambios en la cuenta, IPs, user-agents.
  • Dominios lookalike involucrados.
• Determinar:
  • Si el ataque se limita a BEC o ha derivado en algo mayor (exfiltración, movimiento lateral, etc.).

4.4. Recuperación y comunicación

• Informar a:
  • Dirección, departamentos afectados, proveedores impactados.
  • Equipo legal y, si aplica, autoridades reguladoras.
• Restaurar la operativa normal:
  • Procesos de pago con circuitos reforzados (doble verificación, validación telefónica).
• Reforzar la concienciación:
  • Campañas específicas sobre correos relacionados con pagos o cambios bancarios.

4.5. Lecciones aprendidas y mejora continua

Tras el incidente:

• Documentar cronología completa:
  • Primer indicio → detección → contención → erradicación → recuperación.
• Actualizar:
  • IRP específico de BEC.
  • Playbooks de CSIRT.
  • Reglas de detección (SIEM, EDR, filtros de correo).
• Implementar:
  • Controles técnicos (MFA obligatorio, DMARC/DKIM/SPF bien configurados).
  • Controles procedimentales (doble control para cambios de IBAN, verificación verbal).

5⃣ Análisis forense en un BEC: qué mirar exactamente

El análisis forense en BEC se centra menos en “artefactos de malware” y más en trazas de acceso y manipulación de correo.

5.1. Fuentes típicas de evidencia

• Logs de:
  • Autenticación (O365, servidor de correo, SSO, VPN).
  • Acceso a buzón (IMAP/POP/OWA).
  • Cambios de configuración de la cuenta (reglas, alias, MFA).
• Cabeceras de los correos:
  • Received:, Return-Path:, Message-ID, From, Reply-To.
• Metadatos:
  • IP origen, user-agent, geolocalización aproximada.
• Evidencias bancarias:
  • Información de transferencias, cuentas receptoras, tiempos.

5.2. Preguntas clave del forense

• ¿Desde cuándo está comprometida la cuenta
• ¿Qué correos se han enviado desde esa cuenta durante el compromiso?
• ¿Qué correos críticos (pagos, contratos, nóminas) se han leído?
• ¿Se ha intentado comprometer otras cuentas desde esta (efecto cadena)?
• ¿Desde qué IPs y países se ha accedido?
• ¿Qué controles existentes han fallado o se han eludido?

6⃣ Rol del CSIRT y medidas preventivas

Un CSIRT maduro debe abordar BEC desde tres frentes: prevención, detección y respuesta.

Prevención

• Aplicar MFA obligatoria a todas las cuentas con acceso a correo.
• Configurar correctamente:
  • SPF, DKIM y DMARC para reducir suplantación de dominio.
• Establecer políticas internas:
  • Doble verificación para cambios de cuentas bancarias.
  • Procedimientos claros para transferencias urgentes.
• Formación continua:
  • Simulaciones de phishing.
  • Casos reales de BEC explicados a Finanzas, Compras, Dirección.

Detección

• Reglas en SIEM y/o en el propio servicio de correo:
  • Alertar ante inicios de sesión desde localizaciones anómalas.
  • Detectar cambios en reglas de reenvío.
  • Detección de nuevos dominios lookalike.
• Monitorización:
  • De buzones críticos (finanzas, dirección, compras).

Respuesta y forense

• Playbooks claros:
  • qué hacer si un empleado reporta un correo sospechoso,
  • qué hacer si se detecta una cuenta comprometida,
  • contactos internos y externos (bancos, proveedores, autoridades).
• Capacidad de:
  • Extraer y analizar logs detallados.
  • Coordinarse con equipos legales y financieros.

El Business Email Compromise no es solo “otro phishing”: es un ataque dirigido, silencioso y estratégico, que se apoya en el canal de correo para golpear donde más duele: el negocio y el dinero.

Para un CSIRT, tener un IRP específico para BEC, con pasos claros de detección, contención, análisis forense, recuperación y mejora continua, marca la diferencia entre:

• perder grandes cantidades de dinero sin entender qué ha pasado,
  o
• contener el daño, recuperar el control y reforzar la organización de cara al futuro.

La entrada BEC al Desnudo: Anatomía, Respuesta e Investigación Forense de uno de los Ataques Más Rentables para los Ciberdelincuentes se publicó primero en Curiosidades De Hackers.