Compromiso del correo electrónico empresarial
Gestión del riesgo Ciberseguridad

Cómo proteger su empresa del compromiso del correo electrónico empresarial

El Personal de The Hartford
El Personal de The Hartford,Escritores, investigadores, especialistas en productos y expertos en la materia
El Personal de The Hartford
Escritores, investigadores, especialistas en productos y expertos en la materia.
09/09/2025 7 min de lectura
Las estafas de compromiso de correo electrónico comercial (BEC) se dirigen a las empresas y pueden costarle decenas de miles de dólares. Aprende a mantener seguros a tu empresa y a tus empleados.
Facebook LinkedIn Twitter Correo electrónico Cancelar
Más información sobre el seguro para empresas
Explora las opciones de seguro comercial adaptadas a tus necesidades.
Más información
Más información
No es necesario dirigir una corporación multinacional para que los delincuentes apunten a su organización. Y, como propietario de una pequeña empresa, mantenerse informado de las últimas estafas puede ser importante para el futuro de su empresa. En el panorama digital actual, el compromiso del correo electrónico se ha convertido en una de las amenazas cibernéticas más costosas que enfrentan las pequeñas empresas. De hecho, el 73% de todos los incidentes cibernéticos reportados fueron ataques de compromiso de correo electrónico empresarial (BEC) en 2024.
 
En el panorama digital actual, los atacantes se están volviendo más sofisticados mediante el uso de tácticas de suplantación de identidad impulsadas por IA. Estas nuevas tácticas están haciendo que sea más difícil que nunca detectar y prevenir estas amenazas. Este artículo explora cómo funciona el compromiso del correo electrónico empresarial, por qué está creciendo y qué pueden hacer las pequeñas empresas para protegerse.
Estafas por correo electrónico

¿Qué es el compromiso del correo electrónico empresarial?

Una estafa de compromiso de correo electrónico comercial involucra a un delincuente que envía un mensaje de correo electrónico que parece provenir de una fuente legítima. Tres estafas BEC comunes a tener en cuenta incluyen a un estafador:
  • Enviar un correo electrónico que parece ser de su proveedor con instrucciones de facturación actualizadas para sus pagos. Estas instrucciones proporcionan la información de la cuenta de los estafadores para que reciban los pagos.  
  • Imitar un correo electrónico de un ejecutivo y comunicarse con un empleado del equipo de finanzas con una solicitud urgente de transferencia de dinero.
  • Imitar un correo electrónico de un ejecutivo pidiéndole a un empleado que compre y envíe tarjetas de regalo, que el estafador puede retirar o revender rápidamente.
BEC tampoco se trata siempre de las transferencias de dinero. Algunos atacantes BEC pueden buscar la información personal de sus empleados o los datos sobre la empresa, que luego pueden vender en la web oscura o usar como base para un ataque diferente en el futuro.

¿Qué podría pasar si te atacan?

A diferencia de los correos electrónicos fraudulentos que se envían a miles de personas a la vez, los delincuentes que ejecutan esquemas BEC a menudo realizan ataques bien investigados y coordinados.
 
Por ejemplo, el estafador puede pasar días aprendiendo sobre usted y monitoreando la actividad de su cuenta de redes sociales. Incluso pueden esperar hasta que esté en una conferencia antes de entrar en acción, y pueden usar el viaje como base para una solicitud urgente. Es posible que se hagan pasar por usted y envíen un correo electrónico con una solicitud urgente de transferencia bancaria: acaba de firmar un acuerdo y necesita el dinero de inmediato. Si su equipo responde, es posible que pierda decenas de miles de dólares.
 
Y así como las empresas exitosas a menudo tienen que pivotar para abordar las circunstancias cambiantes, los estafadores también se apresuran a probar nuevos métodos. Por ejemplo, los esquemas BEC que involucran plataformas de reuniones virtuales están en aumento. Los estafadores envían una solicitud de reunión como CEO o CFO de una empresa, usan audio falso para replicar la voz del ejecutivo y luego solicitan una transferencia de fondos durante la reunión o en un correo electrónico de seguimiento.

Cómo proteger su negocio de BEC

Para proteger su pequeña empresa de los esquemas BEC, puede seguir estos pasos:
 

1. Establecer una póliza de Transferencia Electrónica de Fondos (EFT)

Esta política requiere que todos los empleados confirmen que cualquier correo electrónico que solicite transacciones como un depósito directo o una transferencia eléctrica de fondos es legítimo. Sus empleados pueden verificar si estas solicitudes son auténticas llamando directamente al remitente, ya sea su otro empleado, vendedor o proveedor.
 
También es importante que sus empleados no se comuniquen con el beneficiario con ninguna dirección de correo electrónico o número de teléfono que esté incluido en la solicitud de transferencia electrónica de fondos. Esta información de contacto puede ser fácilmente falsa y parte de la estafa. Los empleados siempre deben confiar en la información de contacto que proviene de su pequeña empresa.
 
Además de esto, asegúrese de que sus empleados puedan reconocer las señales de alerta en los correos electrónicos fraudulentos, como:
 
  • Direcciones de respuesta similares o diferentes. Los estafadores pueden enviar un correo electronico desde una dirección que se parece mucho a la correo electronico de su empresa, como ceo@c0mpany.com en lugar de ceo@company.com. O bien, pueden hacer que la dirección del remitente se vea exactamente como la de su empresa, pero la dirección de respuesta es la cuenta de correo electrónico del estafador.
  • Mensajes cortos que crean una sensación de urgencia. Un empleado de nivel bajo o medio puede querer responder de manera rápida e incuestionable a las solicitudes urgentes de un ejecutivo. Pero asegúrese de que todos sepan que está bien hacer preguntas cuando haya una solicitud de dinero o información personal.
  • Una necesidad de secreto. Los estafadores también podrían usar un falso pretexto para evitar que los destinatarios pidan consejo a otros. Por ejemplo, el estafador puede pedirle a su asistente que compre 15 tarjetas de regalo y no se lo diga a nadie porque serán regalos sorpresa de agradecimiento para el equipo.
  • Momento inusual. El ataque podría comenzar fuera del horario laboral o un día festivo, lo que juega con la idea de que es una solicitud urgente y podría evitar que el destinatario verifique los detalles con otros.
  • Solicitudes de cambio de información de cuenta. Un cambio en las instrucciones de pago, los formularios de depósito directo u otra información de la cuenta podría ser legítimo, pero también es una señal de alerta. Intenta verificar la solicitud por teléfono con un número que no aparezca en el correo electrónico.

2. Verifique el dominio real del remitente en los correos electrónicos

Muchas estafas BEC son difíciles de detectar porque se basan en una mezcla de conocimientos tecnológicos e ingeniería social: la manipulación psicológica de alguien.
 
Por ejemplo, un empleado puede recibir un correo electrónico que parece haber sido enviado por su proveedor con un enlace para descargar y pagar una factura. Sin embargo, este enlace puede abrir una página web maliciosa o contenido dañino. En situaciones como esta, los empleados deben verificar que el remitente sea legítimo.
 
Para verificar un correo electrónico, es importante verificar la dirección de correo electrónico del remitente. Muchos estafadores usan nombres que parecen ser de alguien de la empresa. Sus empleados también pueden pasar el cursor sobre la dirección de correo electrónico y mirar el dominio del que proviene el correo electrónico para asegurarse de que proviene de una fuente confiable. También pueden pasar el cursor sobre cualquier enlace incrustado dentro del correo electrónico para ver la URL. Si no coincide con lo que se muestra en el correo electrónico o con la persona o empresa que envía el correo electrónico, es probable que se trate de phishing.
 

3. Proteja su dominio de correo electrónico y autentique los correos electrónicos

Tres protocolos de seguridad de correo electrónico que pueden ayudar a prevenir ataques de phishing al proporcionar pruebas de que un correo electrónico es legítimo incluyen:
 
  • Marco de Políticas de Remitentes (SPF), que restringe quién puede usar el dominio de correo electrónico de una organización.
  • DomainKeys Identified Mail (DKIM) y autenticación de mensajes basada en dominio, que garantiza que el contenido de un correo electrónico no se haya alterado.
  • Reporting and Conformance (DMARC), que une a SPF y DKIM. Proporciona instrucciones sobre qué hacer con un correo electrónico no autenticado (sin acción, cuarentena o rechazo).
Se recomienda combinar los tres protocolos para obtener los mejores resultados.
 

4. Utilice la autenticación multifactor para evitar ataques de phishing

Si un ataque de phishing tiene éxito en el robo de información de acceso del usuario, la autenticación multifactor puede ayudar a evitar que el atacante obtenga acceso a sus sistemas informáticos. Con la autenticación multifactor, necesitará más información o detalles además de las credenciales de inicio de sesión. Por ejemplo, puede requerir un PIN o la aprobación de otro dispositivo para autorizar el inicio de sesión.
 

5. Cree un programa de capacitación y concientización sobre phishing

La capacitación es la mejor manera de prevenir un ataque BEC en su pequeña empresa. Su programa de capacitación debe incluir:
 
  • Educación sobre la definición de ataques de phishing con ejemplos.
  • Pruebas periódicas de los conocimientos de los empleados.
  • Recursos e información sobre lo que deben hacer los empleados si creen que han caído en un intento de phishing.
También es posible que desee tener capacitaciones adicionales para ejecutivos y equipos financieros, ya que a menudo son objetivos de ataques BEC.
 
También hay diferentes herramientas de entrenamiento que puede utilizar. Por ejemplo, muchos estafadores inician un ataque tratando de engañar a alguien para que instale malware que pueden usar para hacerse cargo o monitorear una cuenta de correo electrónico. Algunos proveedores de software ofrecen herramientas gratuitas de simulación de phishing que puede usar como parte de su capacitación continua. Pruebe a sus empleados (y a usted mismo) para ver qué tan bien lo hace cada uno, y luego aprenda más sobre las señales de alerta que la gente pasó por alto.

Qué hacer si es víctima de un ataque BEC

Estafas por correo electrónico 2021
Después de un ataque BEC, comuníquese inmediatamente con su institución financiera para ver si puede revertir las transferencias o los pagos. También puede trabajar con su equipo de TI para asegurarse de que sus dispositivos y cuentas estén seguros, lo que puede implicar cambiar contraseñas y actualizar las medidas de seguridad. También debe notificar a su proveedor de seguros lo antes posible. Cuanto más rápido reciba su compañía de seguros su reclamo, mayores serán las posibilidades de evitar pérdidas innecesarias.
 
Además, reporte el incidente al Centro de Quejas de Delitos en Internet del FBI. Incluya tantos detalles como sea posible, ya que los informes pueden ayudar al FBI a rastrear y detener este tipo de delitos.
 

Ayude a su negocio a crecer y tener éxito

Suscríbete a nuestro boletín y recibe artículos y herramientas para ayudarte con todas las necesidades de tu pequeña empresa.
 
Suscríbete
Business Owner's Playbook

Más información

Explore nuestros recursos para emprendedores listos para lanzar su negocio, brindando orientación experta sobre formación de negocios, estrategia, finanzas, gestión de riesgos y más. 
 

Artículos relacionados

Presentado por The Hartford. El contenido que se muestra es solo para información y no constituye un endoso ni representa la opinión de The Hartford.
 
The Small Business Insights Center es un sitio de blog de información para pequeñas empresas de The Hartford. Es posible que recibamos una compensación de las empresas que respaldamos en nuestro blog. Cualquier empresa a la que nos afiliamos ha sido completamente revisada y seleccionada por su calidad de servicio o producto. Si está interesado en saber específicamente de qué compañías recibimos compensación, puede consultar nuestra página de afiliados.
 
La información y los enlaces de este artículo se proporcionan solo para su conveniencia. Ni las referencias a terceros, ni la provisión de ningún enlace implican un respaldo o asociación entre The Hartford y el sitio de terceros o que no sea de Hartford, respectivamente. The Hartford no es responsable y no hace ninguna representación o garantía con respecto al contenido, integridad, precisión o seguridad de cualquier material dentro de este artículo o en dichos sitios. Su uso de la información y el acceso a dichos sitios que no son de Hartford es bajo su propio riesgo. Siempre debe consultar a un profesional.