BEC al Desnudo: Anatomía, Respuesta e Investigación Forense de uno de los Ataques Más Rentables para los Ciberdelincuentes
El Business Email Compromise (BEC) se ha consolidado como uno de los ataques más rentables para los ciberdelincuentes y más dolorosos para las empresas. No necesita malware complejo ni exploits novedosos: se basa en algo mucho más difícil de parchear, que es la confianza y el comportamiento humano en torno al correo electrónico corporativo.
En el contexto de un CSIRT, un BEC no es solo “un phishing más”: impacta directamente en pagos, contratos, relaciones con proveedores y reputación, por lo que debe estar claramente contemplado en el Plan de Respuesta ante Incidentes (IRP) y en los procedimientos de análisis forense posterior.
1️⃣ ¿Qué es un BEC en términos técnicos?
Un ataque de Business Email Compromise consiste en el uso fraudulento del correo empresarial para:
- 💸 Redirigir pagos o alterar información bancaria
- 🧾 Modificar facturas o instrucciones de cobro
- 📂 Obtener información sensible o financiera
- 👤 Manipular decisiones internas (órdenes falsas de directivos)
Y esto se puede lograr principalmente de dos maneras:
- Compromiso real de la cuenta (el atacante tiene usuario/contraseña y accede a la bandeja)
- Suplantación muy creíble del dominio, remitente o proveedor (sin necesidad de comprometer cuentas internas)
Lo clave: en muchos casos no hay nada “malicioso” que el antivirus pueda detectar. El vector es ingeniería social + abuso del canal de correo.
2️⃣ Cómo opera un BEC: ciclo de ataque explicado 🧠
Desde la óptica de un CSIRT, es útil ver el BEC como un ciclo con fases claras:
🔎 2.1. Reconocimiento
El atacante recopila toda la información posible sobre la organización:
- 🧑💼 Identificación de:
- Directivos, CFO, CEO, responsables de tesorería, contabilidad, compras.
- 🌐 Búsqueda en:
- Web corporativa, LinkedIn, redes sociales, noticias, filtraciones previas.
- ✉️ Análisis de:
- Patrones de formato de correo (firmas, pie de página, tono, idioma, horarios).
🎯 2.2. Punto de entrada
Aquí el atacante intenta conseguir acceso o capacidad de suplantar:
- Robo de credenciales mediante:
- Spear phishing dirigido (páginas de login falsas).
- Password spraying / fuerza bruta contra servicios de correo (O365, IMAP, webmail).
- Suplantación de dominio mediante:
- Compra de dominios lookalike (
empersa.com,empresa-co.com).
- Compra de dominios lookalike (
- Abuso de proveedor comprometido:
- El correo malicioso llega desde una cuenta de un proveedor ya comprometida.
📨 2.3. Compromiso o suplantación del correo
Una vez que el atacante está dentro o puede suplantar de forma creíble:
- Si compromete una cuenta real:
- Inicia sesión y revisa hilos de facturas, pedidos, contratos.
- Crea reglas de reenvío o borrado para ocultar su actividad.
- Si solo suplanta:
- Envía correos diseñados para parecer internos o de proveedor confiable.
- Se integra en cadenas de correo ya existentes (responder con RE:/FW: falsos).
💸 2.4. Ejecución del fraude
El objetivo final suele ser económico:
- Solicitud de transferencias urgentes a cuentas controladas por el atacante.
- Cambio de datos bancarios para pagos recurrentes a proveedores.
- Petición de datos confidenciales (informes financieros, nóminas, etc.).
Su estilo suele incluir:
- Urgencia (“es para hoy”, “no digas nada a nadie”).
- Aparente legitimidad (tono, diálogo, contexto, firmas).
3️⃣ Señales de alerta: qué debe vigilar un CSIRT ⚠️
El IRP debe contemplar tanto indicadores técnicos, como patrones de comportamiento.
🧩 3.1. Indicadores técnicos
Algunos indicadores que deberían disparar alertas:
- Inicios de sesión desde:
- 🌍 Países inusuales o de alto riesgo.
- Dispositivos o navegadores no vistos antes.
- Cambios repentinos en la cuenta:
- Reglas de reenvío a direcciones externas.
- Reglas para mover/borrar correos con ciertas palabras clave (factura, pago, transferencia).
- Actividad fuera de horario habitual del usuario.
- Aparición de dominios similares al corporativo en comunicaciones recientes.
- Aumento repentino de correos marcados como phishing con:
- Nombre del CEO/CFO.
- Referencias a pagos o cuentas bancarias.
🧠 3.2. Indicadores de comportamiento
El lado humano es igual de importante:
- Correos con:
- Tono de urgencia exagerado ⏱️
- Solicitudes de confidencialidad (“no informes a otros departamentos”)
- Cambios inesperados de procedimiento (nuevo IBAN, nueva plataforma de pago).
- Mensajes que aparentan venir de directivos que normalmente no tratan directamente con el destinatario.
- Pequeños errores:
- Firma ligeramente distinta.
- Idioma diferente al habitual.
- Errores de ortografía no habituales en esa persona.
4️⃣ Respuesta ante un BEC: IRP paso a paso 🚨
Un Plan de Respuesta ante Incidentes (IRP) para BEC debería definir claramente quién hace qué y en qué orden. De forma simplificada:
4.1. Detección y clasificación inicial
- Verificar la veracidad del correo sospechoso:
- Contactar por un canal alternativo (teléfono, chat interno) al supuesto remitente.
- Clasificar el incidente:
- ¿Solo intento fallido de phishing?
- ¿Cuenta ya comprometida?
- ¿Transferencia ya realizada?
4.2. Contención rápida 🧯
Si se confirma compromiso de cuenta:
- Forzar cambio de contraseña y, si es posible:
- Revocar sesiones activas.
- Revocar tokens de aplicaciones conectadas.
- Revisar y eliminar:
- Reglas de reenvío sospechosas.
- Reglas de borrado/movimiento automatizado.
- Activar / reforzar MFA (2FA) en las cuentas afectadas.
Si hay pagos en curso:
- Contactar de inmediato con:
- Banco de la organización.
- Banco receptor (si se conoce).
- Departamento legal y dirección.
4.3. Erradicación y análisis forense 🔍
Una vez contenida la actividad:
- Analizar:
- Desde cuándo está comprometida la cuenta.
- Qué hilos de correo se han leído o manipulado.
- Qué correos se han enviado desde la cuenta afectada.
- Revisar:
- Logs de autenticación, cambios en la cuenta, IPs, user-agents.
- Dominios lookalike involucrados.
- Determinar:
- Si el ataque se limita a BEC o ha derivado en algo mayor (exfiltración, movimiento lateral, etc.).
4.4. Recuperación y comunicación 📢
- Informar a:
- Dirección, departamentos afectados, proveedores impactados.
- Equipo legal y, si aplica, autoridades reguladoras.
- Restaurar la operativa normal:
- Procesos de pago con circuitos reforzados (doble verificación, validación telefónica).
- Reforzar la concienciación:
- Campañas específicas sobre correos relacionados con pagos o cambios bancarios.
4.5. Lecciones aprendidas y mejora continua ♻️
Tras el incidente:
- Documentar cronología completa:
- Primer indicio → detección → contención → erradicación → recuperación.
- Actualizar:
- IRP específico de BEC.
- Playbooks de CSIRT.
- Reglas de detección (SIEM, EDR, filtros de correo).
- Implementar:
- Controles técnicos (MFA obligatorio, DMARC/DKIM/SPF bien configurados).
- Controles procedimentales (doble control para cambios de IBAN, verificación verbal).
5️⃣ Análisis forense en un BEC: qué mirar exactamente 🧬
El análisis forense en BEC se centra menos en “artefactos de malware” y más en trazas de acceso y manipulación de correo.
5.1. Fuentes típicas de evidencia
- Logs de:
- Autenticación (O365, servidor de correo, SSO, VPN).
- Acceso a buzón (IMAP/POP/OWA).
- Cambios de configuración de la cuenta (reglas, alias, MFA).
- Cabeceras de los correos:
Received:,Return-Path:,Message-ID,From,Reply-To.
- Metadatos:
- IP origen, user-agent, geolocalización aproximada.
- Evidencias bancarias:
- Información de transferencias, cuentas receptoras, tiempos.
5.2. Preguntas clave del forense
- 📅 ¿Desde cuándo está comprometida la cuenta?
- ✉️ ¿Qué correos se han enviado desde esa cuenta durante el compromiso?
- 👀 ¿Qué correos críticos (pagos, contratos, nóminas) se han leído?
- 🧪 ¿Se ha intentado comprometer otras cuentas desde esta (efecto cadena)?
- 🌍 ¿Desde qué IPs y países se ha accedido?
- 🛡️ ¿Qué controles existentes han fallado o se han eludido?
6️⃣ Rol del CSIRT y medidas preventivas 🏰
Un CSIRT maduro debe abordar BEC desde tres frentes: prevención, detección y respuesta.
🛑 Prevención
- Aplicar MFA obligatoria a todas las cuentas con acceso a correo.
- Configurar correctamente:
- SPF, DKIM y DMARC para reducir suplantación de dominio.
- Establecer políticas internas:
- Doble verificación para cambios de cuentas bancarias.
- Procedimientos claros para transferencias urgentes.
- Formación continua:
- Simulaciones de phishing.
- Casos reales de BEC explicados a Finanzas, Compras, Dirección.
👂 Detección
- Reglas en SIEM y/o en el propio servicio de correo:
- Alertar ante inicios de sesión desde localizaciones anómalas.
- Detectar cambios en reglas de reenvío.
- Detección de nuevos dominios lookalike.
- Monitorización:
- De buzones críticos (finanzas, dirección, compras).
🧑💻 Respuesta y forense
- Playbooks claros:
- qué hacer si un empleado reporta un correo sospechoso,
- qué hacer si se detecta una cuenta comprometida,
- contactos internos y externos (bancos, proveedores, autoridades).
- Capacidad de:
- Extraer y analizar logs detallados.
- Coordinarse con equipos legales y financieros.
El Business Email Compromise no es solo “otro phishing”: es un ataque dirigido, silencioso y estratégico, que se apoya en el canal de correo para golpear donde más duele: el negocio y el dinero.
Para un CSIRT, tener un IRP específico para BEC, con pasos claros de detección, contención, análisis forense, recuperación y mejora continua, marca la diferencia entre:
- perder grandes cantidades de dinero sin entender qué ha pasado,
o - contener el daño, recuperar el control y reforzar la organización de cara al futuro.
