Un correo aparentemente “normal” puede vaciar la cuenta bancaria de tu empresa. Todo suele empezar con algo tan simple como un email urgente o que suplanta a una persona

En el ya conocido fraude denominado BEC (Correo Corporativo Comprometido) los estafadores no necesitan enviarte virus ni enlaces raros. Ellos escriben desde cuentas reales y se hacen pasar por alguien de confianza:
– Un jefe o directivo (“Fraude del CEO”)
– Un cliente o proveedor habitual (cambio de cuenta bancaria o factura falsa)
– Correo de alguien conocido de la empresa o institución publica pidiendo datos personales

Lo más peligroso es que lo preparan muy bien: investigan tu empresa, imitan el tono, mencionan proyectos reales y meten presión o le dan un carácter de urgencia : “Es urgente”, “se acaba el plazo”, etc….

Para pymes y autónomos, donde todo va rápido y muchas decisiones se toman por email (más aún con trabajo remoto), esto puede colarse sin hacer ruido.

¿Te piden hacer una transferencia bancaria? Cuidado, podría ser una estafa (BEC)

El INCIBE ya lleva alertando sobre una técnica muy peligrosa llamada BEC (Business Email Compromise), conocida popularmente como el «Fraude del CEO» o la «Estafa de la Factura».

A diferencia de otros virus informáticos, aquí los atacantes no rompen las máquinas, ni te meten un virus o un malware, sino que engañan a las personas.

¿Qué es exactamente BEC (Correo empresarial comprometido)?

Es un tipo de estafa dirigida a empleados o personas que tienen capacidad para hacer pagos o transferencias en una empresa. El estafador suplanta la identidad y se hace pasar por un alto cargo (el CEO, un director) o por un proveedor de confianza para pedir que se envíe dinero a una cuenta bancaria que realmente fraudulenta.

¿Cómo lo hacen? (El método paso a paso)

Los ciberdelincuentes no actúan al azar; se toman su tiempo para estudiar a la víctima:

1. Investigación silenciosa: Buscan información en LinkedIn, redes sociales o la web de la empresa para saber quién es quién, cómo se hablan y quién maneja el dinero.
2. El acceso (o la imitación): A veces roban la contraseña del correo de un directivo real para leer sus emails. Otras veces, simplemente crean un correo muy parecido (ejemplo: nombre@empresa.co en lugar de nombre@empresa.com).
3. El ataque: Envían un correo electrónico en el momento perfecto. Por ejemplo, justo cuando saben que toca pagar una factura a un proveedor real, o cuando el jefe está de viaje y «no puede recibir llamadas».

Las 2 modalidades más comunes

• «Soy tu jefe, haz esto ya»: Recibes un correo del supuesto director pidiendo una transferencia urgente y confidencial para una «operación secreta». Juegan con tu miedo a desobedecer o a preguntar.
• «Hemos cambiado de banco»: Un proveedor habitual te escribe diciendo que, para la próxima factura, uses un número de cuenta nuevo. El correo parece legítimo e incluye logos y firmas copiadas.

Señales de alerta: ¿Cómo detectarlo?

Desconfía inmediatamente si ves algo de esto:

• Urgencia extrema: Frases como «Pago inmediato», «Urgente», o «Hazlo antes de tal hora». Quieren que actúes rápido para que no pienses.
• Confidencialidad excesiva: Te piden que no se lo cuentes a nadie más de la oficina.
• Cambios repentinos: Un proveedor de toda la vida cambia su cuenta bancaria de un día para otro sin aviso previo oficial.
• Direcciones extrañas: El nombre del remitente es correcto, pero si te fijas bien en la dirección de correo, sobra o falta una letra, o el dominio es genérico (tipo Gmail o Hotmail) en lugar del corporativo.
• Errores de redacción: Aunque han mejorado, a veces usan frases que suenan poco naturales o tienen faltas de ortografía.

¿Qué hacer para protegerse?

La solución técnica ayuda, pero el sentido común es la mejor defensa:

1. La regla de oro (Verificación fuera de línea): Si recibes un correo pidiendo dinero o cambios de cuenta, NO respondas a ese correo. Llama por teléfono al proveedor o a tu jefe al número que ya tienes guardado (no al que viene en el correo sospechoso) y pregunta: «¿Me has enviado tú esto?».
2. Revisa con lupa: Mira letra por letra la dirección de correo del remitente.
3. Estableced protocolos: Acuerda en tu empresa que nunca se autorizarán pagos urgentes o cambios de cuenta solo por email, sino que requerirán una segunda firma o una llamada de confirmación.

CONSEJO: Si un correo te mete prisa por pagar dinero, frena, respira y verifica por teléfono. Es mejor perder 5 minutos comprobando que perder miles de euros en una estafa.