Un empleado debe informar inmediatamente a su departamento de TI o de seguridad de la información si sospecha de un ataque de compromiso de correo electrónico empresarial (BEC).

Detenga. No procese el pago ni responda. Póngase en contacto de inmediato con su equipo de TI o de seguridad. Verifique la solicitud llamando al remitente aparente utilizando un número de sus registros existentes, nunca un número proporcionado en el correo electrónico sospechoso. Documente todo y reenvíe el correo electrónico sospechoso a su equipo de seguridad. Si ya se ha realizado una transferencia, póngase en contacto de inmediato con su banco.

Podría interesarle…

Fraude BEC en Honduras — El Ataque por Correo Electrónico que Drena Millones de Empresas Hondureñas

Cómo funciona el Compromiso de Correo Electrónico Empresarial, por qué los exportadores e instituciones financieras hondureñas son objetivos principales y los controles que detienen el fraude en transferencias bancarias

El Compromiso de Correo Electrónico Empresarial (BEC, por sus siglas en inglés), también conocido como fraude del CEO o fraude de transferencia electrónica, es consistentemente la categoría de ciberataque de mayor pérdida a nivel mundial según el Centro de Denuncias de Delitos de Internet del FBI, generando miles de millones de dólares en pérdidas anualmente. En Honduras, el fraude BEC se ha convertido en una de las amenazas financieramente más perjudiciales que enfrenta la comunidad empresarial, afectando particularmente a las empresas orientadas a la exportación, instituciones financieras y organizaciones que procesan transacciones de alto valor con socios internacionales.

A diferencia del ransomware, que cifra sistemas y exige un pago para restaurarlos, los ataques BEC son operaciones de ingeniería social que manipulan a los empleados para que transfieran voluntariamente dinero a cuentas controladas por los atacantes. La sofisticación técnica es a menudo mínima — lo que hace que los ataques BEC sean tan efectivos es la cuidadosa investigación que los atacantes realizan sobre sus objetivos y la manipulación psicológica que aplican para crear urgencia y eludir los procesos de verificación normales.

Cómo funciona el fraude BEC — El manual de ataque

Los ataques de BEC siguen una metodología consistente que explota la confianza, la autoridad y la urgencia:

Fase 1 — Investigación del objetivo

Los atacantes comienzan investigando a fondo la organización objetivo utilizando información disponible públicamente: sitios web de la empresa, perfiles de LinkedIn, redes sociales, registros comerciales y comunicados de prensa. Identifican a los ejecutivos con autoridad de pago (director ejecutivo, director financiero), a los empleados que procesan pagos (cuentas por pagar, gerentes financieros) y a los proveedores habituales y socios internacionales con los que trabaja la empresa. Las maquiladoras y exportadoras hondureñas son particularmente vulnerables porque sus relaciones con clientes y proveedores internacionales a menudo son públicamente visibles a través de publicaciones comerciales, sitios web de socios y directorios de la industria.

Fase 2 — Compromiso o suplantación de cuentas de correo electrónico

Los atacantes comprometen una cuenta de correo electrónico real (generalmente a través de phishing) o crean un dominio similar convincente. Una empresa real que utiliza gladiium.com podría ser suplantado por gladiium-hn.com, gladlium.es o g1adiium.com — pequeñas diferencias que son fáciles de pasar por alto en una bandeja de entrada ocupada.

Fase 3 — La Solicitud Fraudulenta

El atacante envía un mensaje cuidadosamente elaborado que típicamente: proviene de una fuente confiable (CEO, CFO o proveedor conocido), crea presión de urgencia o confidencialidad, solicita un cambio de pago o de cuenta bancaria y proporciona una razón comercial plausible. Los escenarios comunes incluyen: un ejecutivo que solicita una transferencia bancaria urgente para una adquisición confidencial, un proveedor que notifica un cambio de cuenta bancaria para pagos futuros, o un cliente internacional que solicita el pago a una nueva cuenta.

Fase 4 — La Transferencia

Si el empleado cumple sin verificación, los fondos se transfieren a una cuenta controlada por un atacante —a menudo en un país diferente— y se mueven o convierten rápidamente antes de que se detecte el fraude. La recuperación es extremadamente rara una vez que la transferencia se ha completado.

Por qué las empresas hondureñas son objetivos principales de BEC

Varias características del entorno empresarial hondureño hacen que las empresas locales sean objetivos particularmente atractivos de BEC:

Exportación de Maquilas y Manufacturas

Las maquiladoras y los fabricantes de exportación en el Valle de Sula procesan pagos internacionales regulares de alto valor para proveedores, proveedores de logística y compradores internacionales. Los volúmenes de pago son grandes, los patrones de transacción son predecibles y muchas empresas tienen relaciones bancarias internacionales que pueden ser suplantadas. Un atacante que comprometa o falsifique la dirección de correo electrónico de un proveedor internacional habitual puede redirigir un pago único de $100.000 a $500.000 con una notificación bien elaborada de cambio de cuenta bancaria del proveedor.

Instituciones Financieras

Los bancos, cooperativas y compañías financieras en Honduras procesan transferencias interbancarias de alto volumen y remesas internacionales. Los ataques internos mediante BEC (Business Email Compromise) dirigidos a los signatarios autorizados en las instituciones financieras han resultado en pérdidas multimillonarias en la región centroamericana.

Empresas de importación y distribución

Las empresas que importan bienes y pagan regularmente a proveedores internacionales son el objetivo de ataques de suplantación de identidad de proveedores. Un atacante que intercepte o monitoree las comunicaciones del proveedor puede programar una notificación fraudulenta de cambio de cuenta bancaria para que coincida con una factura legítima, haciendo que la solicitud parezca completamente normal.

La brecha del idioma

Muchas empresas hondureñas realizan negocios internacionales en inglés. Los atacantes de BEC son hábiles en la creación de comunicaciones comerciales convincentes en inglés, y los empleados hondureños pueden tener menos confianza al cuestionar la autenticidad de las comunicaciones formales en inglés de fuentes aparentemente ejecutivas.

Cómo detectar y prevenir el fraude BEC en su organización hondureña

La prevención de BEC requiere una combinación de controles técnicos y procedimientos organizacionales:

Controles técnicos

Autenticación Multifactorial (MFA) en todas las cuentas de correo electrónico — El control individual más eficaz. Incluso si un atacante tiene una contraseña válida, la MFA previene la apropiación de cuentas de correo electrónico, eliminando la forma más peligrosa de BEC.
Autenticación de correo electrónico (DMARC, DKIM, SPF) — La autenticación de correo electrónico configurada correctamente evita que los atacantes falsifiquen el dominio de su organización en correos electrónicos dirigidos a sus socios. También le ayuda a detectar cuándo alguien falsifica el dominio de un socio para contactar a sus empleados.
Filtrado de correo electrónico antiphishing — Seguridad de correo electrónico avanzada que analiza la reputación del remitente, detecta dominios similares y marca lenguaje sospechoso relacionado con pagos.
Monitorización SIEM de patrones de inicio de sesión anómalos Detecta cuándo se accede a cuentas de correo electrónico desde ubicaciones o a horas inusuales, lo que indica un posible compromiso.

Controles Procedimentales

Verificación obligatoria de devolución de llamada para cambios en el pago Toda solicitud de cambio de datos bancarios de un proveedor debe ser verificada telefónicamente utilizando un número de sus registros existentes; nunca un número proporcionado en el correo electrónico sospechoso.
Autorización dual para transferencias electrónicas de fondos por encima de un umbral Ningún empleado por sí solo debería poder autorizar una transferencia electrónica de gran cuantía. Exigir la firma de dos personas autorizadas elimina el punto único de fallo que las estafas BEC explotan.
Capacitación en seguridad con simulaciones de BEC — Capacitación regular que enseñe a los empleados a reconocer las señales de alerta de BEC y simulaciones de intentos de BEC que pongan a prueba las tasas de detección en el mundo real.

Preguntas Frecuentes — Fraude BEC en Honduras

¿Cuál es la diferencia entre BEC y phishing?

El phishing típicamente involucra correos electrónicos masivos enviados a un gran número de destinatarios con el objetivo de robar credenciales o instalar malware. El BEC está altamente dirigido: los atacantes investigan a individuos y organizaciones específicas y elaboran comunicaciones personalizadas diseñadas para desencadenar una acción financiera específica. Los ataques de BEC a menudo no se parecen en nada al phishing tradicional porque no contienen enlaces o archivos adjuntos maliciosos: son puramente ingeniería social.

¿Se pueden recuperar las pérdidas por BEC una vez que se ha realizado la transferencia?

La recuperación es rara pero no imposible. Si se descubre dentro de las horas posteriores a la transferencia, el Equipo de Recuperación de Activos (RAT, por sus siglas en inglés) del Centro de Denuncias de Delitos por Internet (IC3) del FBI y la cooperación entre las instituciones financieras a veces pueden congelar los fondos antes de que sean movidos. En Honduras, es esencial reportar inmediatamente a la Agencia de Investigación Criminal (ATIC). El equipo de respuesta a incidentes de GLADiiUM puede ayudar con las forenses técnicas y la coordinación requeridas para maximizar las posibilidades de recuperación.

¿Cómo ayuda GLADiiUM a las empresas hondureñas a prevenir el BEC?

El programa de prevención de BEC de GLADiiUM incluye: despliegue de MFA en todas las cuentas de correo electrónico corporativas, configuración de autenticación de correo electrónico DMARC/DKIM/SPF, despliegue y ajuste de pasarelas de seguridad de correo electrónico, monitoreo SIEM para patrones anómalos de acceso a cuentas de correo electrónico, capacitación y simulaciones de concienciación de seguridad específicas para BEC, y planificación de respuesta a incidentes ante la detección de un intento de BEC. Nuestro equipo local en San Pedro Sula y Tegucigalpa puede capacitar a los equipos de finanzas y cuentas por pagar de forma presencial.

¿Qué debe hacer un empleado si sospecha que está siendo objeto de un ataque BEC?

Deténgase. No procese el pago ni responda a la solicitud. Póngase en contacto con su equipo de TI o de seguridad inmediatamente. Verifique la solicitud llamando al remitente aparente utilizando un número de teléfono de sus registros existentes, no cualquier número proporcionado en el correo electrónico sospechoso. Documente todo: reenvíe el correo electrónico sospechoso a su equipo de seguridad y conserve todas las comunicaciones relacionadas. Si ya se ha realizado una transferencia, póngase en contacto con su banco inmediatamente para intentar una revocación e informe a ATIC.

¿Está su empresa hondureña protegida contra el fraude BEC?

El equipo de GLADiiUM en San Pedro Sula y Tegucigalpa puede implementar la MFA, configurar la autenticación de correo electrónico y capacitar a su equipo de finanzas contra el BEC, el ataque más perjudicial financieramente para las empresas hondureñas.