Redacción Digital Inside España
Los investigadores de Kaspersky han identificado una campaña de fraude que suplanta la identidad del consejero delegado para exigir pagos urgentes a los departamentos financieros. La firma de seguridad ha analizado varios mensajes enviados a personal de contabilidad que copiaban, con un notable nivel de detalle; hilos de correo mantenidos supuestamente entre el máximo responsable de la organización y un bufete de abogados externo o un proveedor de servicios de consultoría. Los atacantes pedían transferencias rápidas alegando compromisos contractuales o plazos inminentes, y adjuntaban (o decían adjuntar) facturas de apariencia legítima.
La técnica, conocida como compromiso del correo electrónico empresarial (BEC), se apoya en direcciones de remitente falsificadas que apenas levantan sospechas. En todos los incidentes estudiados, la dirección real desde la que se enviaba el mensaje nada tenía que ver con el nombre visible del remitente; esa discrepancia quedaba oculta a simple vista y solo se apreciaba al inspeccionar la cabecera completa. Con este método, los delincuentes aprovechan la confianza que genera recibir órdenes directas del consejero delegado para eludir los protocolos de verificación internos.
Las variantes detectadas incluyen correos que incorporan la factura fraudulenta en forma de archivo adjunto y otros que simplemente solicitan el pago, remitiendo la supuesta documentación “más adelante”. En ambos casos, la urgencia planteada persigue que el empleado actúe sin contrastar la autenticidad de la solicitud.
En España, el Instituto Nacional de Ciberseguridad registró más de 21.500 incidentes de phishing en 2024 y el fraude por correo ya supera los 38.000 casos anuales. Dentro de estas cifras, los ataques BEC o “whaling”, centrados en impersonar a ejecutivos de alto nivel; constituyen una categoría cada vez más frecuente y rentable para los atacantes, especialmente contra compañías con cadenas de aprobación de pagos muy jerarquizadas.
La primera línea de defensa pasa por confirmar la legitimidad del remitente antes de abrir enlaces o autorizar pagos. Los expertos recomiendan comprobar la dirección de correo real, cotejar la petición a través de otro canal (por ejemplo, una llamada telefónica directa) y observar con detenimiento cualquier URL para detectar sustituciones de caracteres que delaten páginas de suplantación. Además, dotar a los empleados de formación práctica, reforzar las políticas de doble firma y desplegar soluciones de seguridad capaces de filtrar correos maliciosos permiten frenar estas amenazas antes de que invadan la bandeja de entrada.
Anna Lazaricheva, analista de spam en Kaspersky subraya: «Este ataque destaca por su meticulosa atención al detalle y por aprovechar relaciones de confianza. Al fabricar hilos de correo convincentes e imitar a ejecutivos de alto nivel, los atacantes apuestan a que los empleados no cuestionarán solicitudes que parecen auténticas. Las empresas deben priorizar la capacitación de los empleados y contar con sistemas sólidos de verificación de correos electrónicos para hacer frente a estas amenazas en evolución«.
