Curiosidades De Hackers
CSIRTDFIRForense Digital

BEC al Desnudo: Anatomía, Respuesta e Investigación Forense de uno de los Ataques Más Rentables para los Ciberdelincuentes


El Business Email Compromise (BEC) se ha consolidado como uno de los ataques más rentables para los ciberdelincuentes y más dolorosos para las empresas. No necesita malware complejo ni exploits novedosos: se basa en algo mucho más difícil de parchear, que es la confianza y el comportamiento humano en torno al correo electrónico corporativo.

En el contexto de un CSIRT, un BEC no es solo “un phishing más”: impacta directamente en pagos, contratos, relaciones con proveedores y reputación, por lo que debe estar claramente contemplado en el Plan de Respuesta ante Incidentes (IRP) y en los procedimientos de análisis forense posterior.


1️⃣ ¿Qué es un BEC en términos técnicos?

Un ataque de Business Email Compromise consiste en el uso fraudulento del correo empresarial para:

  • 💸 Redirigir pagos o alterar información bancaria
  • 🧾 Modificar facturas o instrucciones de cobro
  • 📂 Obtener información sensible o financiera
  • 👤 Manipular decisiones internas (órdenes falsas de directivos)

Y esto se puede lograr principalmente de dos maneras:

  • Compromiso real de la cuenta (el atacante tiene usuario/contraseña y accede a la bandeja)
  • Suplantación muy creíble del dominio, remitente o proveedor (sin necesidad de comprometer cuentas internas)

Lo clave: en muchos casos no hay nada “malicioso” que el antivirus pueda detectar. El vector es ingeniería social + abuso del canal de correo.


2️⃣ Cómo opera un BEC: ciclo de ataque explicado 🧠

Desde la óptica de un CSIRT, es útil ver el BEC como un ciclo con fases claras:

🔎 2.1. Reconocimiento

El atacante recopila toda la información posible sobre la organización:

  • 🧑‍💼 Identificación de:
    • Directivos, CFO, CEO, responsables de tesorería, contabilidad, compras.
  • 🌐 Búsqueda en:
    • Web corporativa, LinkedIn, redes sociales, noticias, filtraciones previas.
  • ✉️ Análisis de:
    • Patrones de formato de correo (firmas, pie de página, tono, idioma, horarios).

🎯 2.2. Punto de entrada

Aquí el atacante intenta conseguir acceso o capacidad de suplantar:

  • Robo de credenciales mediante:
    • Spear phishing dirigido (páginas de login falsas).
    • Password spraying / fuerza bruta contra servicios de correo (O365, IMAP, webmail).
  • Suplantación de dominio mediante:
    • Compra de dominios lookalike (empersa.com, empresa-co.com).
  • Abuso de proveedor comprometido:
    • El correo malicioso llega desde una cuenta de un proveedor ya comprometida.

📨 2.3. Compromiso o suplantación del correo

Una vez que el atacante está dentro o puede suplantar de forma creíble:

  • Si compromete una cuenta real:
    • Inicia sesión y revisa hilos de facturas, pedidos, contratos.
    • Crea reglas de reenvío o borrado para ocultar su actividad.
  • Si solo suplanta:
    • Envía correos diseñados para parecer internos o de proveedor confiable.
    • Se integra en cadenas de correo ya existentes (responder con RE:/FW: falsos).

💸 2.4. Ejecución del fraude

El objetivo final suele ser económico:

  • Solicitud de transferencias urgentes a cuentas controladas por el atacante.
  • Cambio de datos bancarios para pagos recurrentes a proveedores.
  • Petición de datos confidenciales (informes financieros, nóminas, etc.).

Su estilo suele incluir:

  • Urgencia (“es para hoy”, “no digas nada a nadie”).
  • Aparente legitimidad (tono, diálogo, contexto, firmas).

3️⃣ Señales de alerta: qué debe vigilar un CSIRT ⚠️

El IRP debe contemplar tanto indicadores técnicos, como patrones de comportamiento.

🧩 3.1. Indicadores técnicos

Algunos indicadores que deberían disparar alertas:

  • Inicios de sesión desde:
    • 🌍 Países inusuales o de alto riesgo.
    • Dispositivos o navegadores no vistos antes.
  • Cambios repentinos en la cuenta:
    • Reglas de reenvío a direcciones externas.
    • Reglas para mover/borrar correos con ciertas palabras clave (factura, pago, transferencia).
  • Actividad fuera de horario habitual del usuario.
  • Aparición de dominios similares al corporativo en comunicaciones recientes.
  • Aumento repentino de correos marcados como phishing con:
    • Nombre del CEO/CFO.
    • Referencias a pagos o cuentas bancarias.

🧠 3.2. Indicadores de comportamiento

El lado humano es igual de importante:

  • Correos con:
    • Tono de urgencia exagerado ⏱️
    • Solicitudes de confidencialidad (“no informes a otros departamentos”)
    • Cambios inesperados de procedimiento (nuevo IBAN, nueva plataforma de pago).
  • Mensajes que aparentan venir de directivos que normalmente no tratan directamente con el destinatario.
  • Pequeños errores:
    • Firma ligeramente distinta.
    • Idioma diferente al habitual.
    • Errores de ortografía no habituales en esa persona.

4️⃣ Respuesta ante un BEC: IRP paso a paso 🚨

Un Plan de Respuesta ante Incidentes (IRP) para BEC debería definir claramente quién hace qué y en qué orden. De forma simplificada:

4.1. Detección y clasificación inicial

  • Verificar la veracidad del correo sospechoso:
    • Contactar por un canal alternativo (teléfono, chat interno) al supuesto remitente.
  • Clasificar el incidente:
    • ¿Solo intento fallido de phishing?
    • ¿Cuenta ya comprometida?
    • ¿Transferencia ya realizada?

4.2. Contención rápida 🧯

Si se confirma compromiso de cuenta:

  • Forzar cambio de contraseña y, si es posible:
    • Revocar sesiones activas.
    • Revocar tokens de aplicaciones conectadas.
  • Revisar y eliminar:
    • Reglas de reenvío sospechosas.
    • Reglas de borrado/movimiento automatizado.
  • Activar / reforzar MFA (2FA) en las cuentas afectadas.

Si hay pagos en curso:

  • Contactar de inmediato con:
    • Banco de la organización.
    • Banco receptor (si se conoce).
    • Departamento legal y dirección.

4.3. Erradicación y análisis forense 🔍

Una vez contenida la actividad:

  • Analizar:
    • Desde cuándo está comprometida la cuenta.
    • Qué hilos de correo se han leído o manipulado.
    • Qué correos se han enviado desde la cuenta afectada.
  • Revisar:
    • Logs de autenticación, cambios en la cuenta, IPs, user-agents.
    • Dominios lookalike involucrados.
  • Determinar:
    • Si el ataque se limita a BEC o ha derivado en algo mayor (exfiltración, movimiento lateral, etc.).

4.4. Recuperación y comunicación 📢

  • Informar a:
    • Dirección, departamentos afectados, proveedores impactados.
    • Equipo legal y, si aplica, autoridades reguladoras.
  • Restaurar la operativa normal:
    • Procesos de pago con circuitos reforzados (doble verificación, validación telefónica).
  • Reforzar la concienciación:
    • Campañas específicas sobre correos relacionados con pagos o cambios bancarios.

4.5. Lecciones aprendidas y mejora continua ♻️

Tras el incidente:

  • Documentar cronología completa:
    • Primer indicio → detección → contención → erradicación → recuperación.
  • Actualizar:
    • IRP específico de BEC.
    • Playbooks de CSIRT.
    • Reglas de detección (SIEM, EDR, filtros de correo).
  • Implementar:
    • Controles técnicos (MFA obligatorio, DMARC/DKIM/SPF bien configurados).
    • Controles procedimentales (doble control para cambios de IBAN, verificación verbal).

5️⃣ Análisis forense en un BEC: qué mirar exactamente 🧬

El análisis forense en BEC se centra menos en “artefactos de malware” y más en trazas de acceso y manipulación de correo.

5.1. Fuentes típicas de evidencia

  • Logs de:
    • Autenticación (O365, servidor de correo, SSO, VPN).
    • Acceso a buzón (IMAP/POP/OWA).
    • Cambios de configuración de la cuenta (reglas, alias, MFA).
  • Cabeceras de los correos:
    • Received:, Return-Path:, Message-ID, From, Reply-To.
  • Metadatos:
    • IP origen, user-agent, geolocalización aproximada.
  • Evidencias bancarias:
    • Información de transferencias, cuentas receptoras, tiempos.

5.2. Preguntas clave del forense

  • 📅 ¿Desde cuándo está comprometida la cuenta?
  • ✉️ ¿Qué correos se han enviado desde esa cuenta durante el compromiso?
  • 👀 ¿Qué correos críticos (pagos, contratos, nóminas) se han leído?
  • 🧪 ¿Se ha intentado comprometer otras cuentas desde esta (efecto cadena)?
  • 🌍 ¿Desde qué IPs y países se ha accedido?
  • 🛡️ ¿Qué controles existentes han fallado o se han eludido?

6️⃣ Rol del CSIRT y medidas preventivas 🏰

Un CSIRT maduro debe abordar BEC desde tres frentes: prevención, detección y respuesta.

🛑 Prevención

  • Aplicar MFA obligatoria a todas las cuentas con acceso a correo.
  • Configurar correctamente:
    • SPF, DKIM y DMARC para reducir suplantación de dominio.
  • Establecer políticas internas:
    • Doble verificación para cambios de cuentas bancarias.
    • Procedimientos claros para transferencias urgentes.
  • Formación continua:
    • Simulaciones de phishing.
    • Casos reales de BEC explicados a Finanzas, Compras, Dirección.

👂 Detección

  • Reglas en SIEM y/o en el propio servicio de correo:
    • Alertar ante inicios de sesión desde localizaciones anómalas.
    • Detectar cambios en reglas de reenvío.
    • Detección de nuevos dominios lookalike.
  • Monitorización:
    • De buzones críticos (finanzas, dirección, compras).

🧑‍💻 Respuesta y forense

  • Playbooks claros:
    • qué hacer si un empleado reporta un correo sospechoso,
    • qué hacer si se detecta una cuenta comprometida,
    • contactos internos y externos (bancos, proveedores, autoridades).
  • Capacidad de:
    • Extraer y analizar logs detallados.
    • Coordinarse con equipos legales y financieros.

El Business Email Compromise no es solo “otro phishing”: es un ataque dirigido, silencioso y estratégico, que se apoya en el canal de correo para golpear donde más duele: el negocio y el dinero.

Para un CSIRT, tener un IRP específico para BEC, con pasos claros de detección, contención, análisis forense, recuperación y mejora continua, marca la diferencia entre:

  • perder grandes cantidades de dinero sin entender qué ha pasado,
    o
  • contener el daño, recuperar el control y reforzar la organización de cara al futuro.


Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *