Dots
Dots
Gartner Report
/ news / BEC_FRAUD_OR_CEO_FRAUD:_HOW_DOES_IT_WORK?

BEC Fraud or CEO Fraud: How Does It Work?

Published on October 23, 2025

El fraude BEC (Business Email Compromise), también conocido como fraude del CEO, es una estafa en la que un atacante se hace pasar por una figura de confianza dentro de la empresa para convencer a alguien —normalmente de administración, finanzas o dirección— de realizar una transferencia, compartir información delicada o modificar datos bancarios.

A diferencia de otros ataques, aquí no suele aparecer un virus, un archivo sospechoso ni un enlace extraño. El arma principal es el engaño: un correo que parece legítimo, un tono convincente y una situación de urgencia que empuja a actuar sin pensar demasiado.


Cómo actúan los atacantes

Un ataque BEC sigue, por lo general, este patrón:

Estudian a la empresa y a sus personas clave --> Analizan roles, jerarquías, proveedores y rutinas.

Suplantan una identidad --> Pueden crear un dominio casi idéntico al real o incluso acceder a una cuenta legítima robando credenciales.

Crean un mensaje creíble y urgente --> El correo suele pedir una transferencia, un cambio de cuenta bancaria o una acción sensible que “no puede esperar”.

Buscan saltarse los procedimientos internos --> Su objetivo es que la víctima actúe sola, sin verificar con nadie más.

Una vez logrado el pago, el dinero desaparece --> Normalmente lo desvían a cuentas en el extranjero y lo mueven varias veces para perder la pista.


Señales de alerta habituales

Un correo que pueda formar parte de un fraude BEC suele tener elementos como:

  1. Peticiones urgentes que pasan por alto procesos y controles
  2. Cambios inesperados en cuentas bancarias
  3. Mensajes que apelan a la confidencialidad o la autoridad
  4. Errores sutiles en la dirección del remitente o el dominio
  5. Instrucciones que no suelen darse por correo

Si algo suena raro, probablemente lo sea.


Cómo proteger tu empresa frente al fraude BEC

Para evitar caer en este tipo de engaños es necesario combinar tecnología, formación y procedimientos internos sólidos:

  1. Usar soluciones avanzadas de seguridad del correo (Microsoft Defender for Office 365, Google Workspace ATP, Proofpoint, Mimecast o Barracuda)
  2. Configurar correctamente SPF, DKIM y DMARC
  3. Formar a los empleados y realizar simulaciones de phishing periódicas
  4. Supervisar e investigar actividades sospechosas mediante herramientas SIEM y SOAR
  5. Verificar por un canal alternativo cualquier orden de pago o cambio financiero
  6. Aplicar el doble control de pagos para impedir que una sola persona pueda aprobar una operación completa


NEVERHACK: your cyber performance partner

El fraude BEC no se basa en vulnerar sistemas, sino en vulnerar personas. Por eso es tan efectivo y, al mismo tiempo, tan peligroso. La buena noticia es que con las herramientas adecuadas, procedimientos claros y una cultura interna de desconfianza saludable frente al correo electrónico, es posible reducir de forma drástica este riesgo.

Si quieres más información sobre cómo implementar soluciones similares en tu organización, ¡no dudes en contactarnos!

Autor: Adrián Jimeno Romano, Cybersecurity Consultant en NEVERHACK

Our related offers

Cyber services

    Learn more

    Training and Awareness Center

      Learn more

      Discover our offers

      View all offers

      You can also read

      All the latest news