Saltar al contenido principal
Didit recauda 7,5M $ para construir la infraestructura para identidad y fraude
Didit
Volver al blog
Blog · 21 de mayo de 2026

Compromiso de Correo Electrónico Empresarial: Prevención y Detección (ES)

El Compromiso de Correo Electrónico Empresarial (BEC) es el tipo de fraude financiero más costoso. Aquí se explica cómo funciona cada ataque, por qué es difícil de detectar y cómo la verificación de correo, los controles de.

Por DiditActualizado el
business-email-compromise-bec.png

Llega un correo electrónico del CEO: transferencia bancaria urgente, nueva cuenta bancaria, no discutir con nadie. La dirección parece correcta, el tono coincide, la solicitud no es lo suficientemente extraña como para cuestionarla. Dos días después, el dinero ha desaparecido, y el CEO nunca envió ese mensaje.

El Compromiso de Correo Electrónico Empresarial (BEC) es una de las categorías de fraude de mayor rendimiento que atacan a las organizaciones. Sin malware, sin exploits, solo un correo electrónico convincente y un proceso que se mueve más rápido de lo que cualquiera puede verificar. Esta publicación cubre cómo funciona cada variante principal de BEC, por qué es efectiva y dónde la infraestructura de identidad lo detiene.

Puntos clave

  • BEC es fraude de ingeniería social: los atacantes suplantan o comprometen una identidad de correo electrónico de confianza para redirigir dinero o datos.
  • Las cuatro variantes principales —fraude del CEO, fraude de proveedores/facturas, desvío de nómina y compromiso de cuenta— comparten un mecanismo: abusan de una relación de confianza establecida para eludir los controles normales.
  • El ataque tiene éxito cuando no hay una segunda señal para verificar la solicitud. El correo electrónico por sí solo no es suficiente.
  • Didit cierra las brechas con la Verificación de Correo Electrónico (0,03 $) para detectar direcciones de remitentes sospechosas, controles de identidad y KYB para autenticar beneficiarios y proveedores antes de que se les pague, y el Monitoreo de Transacciones para señalar pagos anómalos en tiempo real.
  • El costo de un solo pago BEC no detectado supera el costo de todas las verificaciones combinadas.

¿Qué es el Compromiso de Correo Electrónico Empresarial?

BEC es un fraude en el que un atacante utiliza un correo electrónico de apariencia legítima —suplantando una dirección, registrando un dominio similar o tomando el control de una cuenta real— para engañar a un empleado para que transfiera dinero, cambie los detalles de pago o divulgue credenciales.

La característica definitoria es que no ataca sistemas; ataca a personas y procesos. No hay carga útil que escanear, ni firma que coincidir. Un correo electrónico BEC bien elaborado pasa todos los filtros de spam porque, para el filtro, es un correo electrónico normal.

Los principales tipos de ataque

Fraude del CEO (suplantación de ejecutivo)

El atacante suplanta a un ejecutivo senior —CEO, CFO, asesor legal— y envía un correo electrónico a finanzas con una solicitud urgente y confidencial para transferir fondos a una nueva cuenta. La urgencia y el secreto son deliberados: impiden que el objetivo discuta la solicitud con nadie. El remitente suele ser un dominio similar (empresa-corp.com en lugar de empresa.com) o una cuenta genuina comprometida, y el contenido a menudo se investiga a partir del nombre del objetivo y la agenda del ejecutivo.

Fraude de proveedores y facturas

El atacante suplanta a un proveedor conocido y le dice a cuentas por pagar que la cuenta bancaria del proveedor ha cambiado, redirigiendo el siguiente pago a la nueva cuenta. Es efectivo porque cambiar los detalles bancarios es un evento rutinario, no una solicitud inusual. El fraude solo sale a la luz cuando el proveedor real reclama la factura vencida.

Desvío de nómina

El atacante suplanta a un empleado y le pide a RRHH o nóminas que cambien sus detalles de depósito directo antes del siguiente ciclo. El objetivo es el procesador de nóminas interno, por lo que la transacción parece legítima hasta que el empleado informa de un salario faltante.

Compromiso de cuenta (BEC habilitado por ATO)

Aquí el atacante no suplanta, sino que posee. Una cuenta real (a menudo de finanzas o adquisiciones) es tomada a través de phishing de credenciales o relleno de credenciales, y las solicitudes BEC provienen de la dirección genuina. Esta es la variante más difícil de detectar, porque cada señal de autenticación dice que el remitente es legítimo.

Por qué BEC es tan costoso

Las transferencias bancarias a menudo son irreversibles dentro del período de recuperación, por lo que cuando la parte legítima hace el seguimiento, el dinero ya se ha movido. La confianza está preestablecida: la solicitud proviene de su CEO, proveedor o empleado, por lo que la verificación parece innecesaria. La urgencia y la confidencialidad suprimen los controles que lo detectarían, y los dominios similares cuestan unos pocos dólares para registrarse. Con un nombre de visualización plausible, la mayoría de los destinatarios nunca ven más allá de él.

Cómo ayuda Didit

BEC explota lagunas en la verificación de identidad en tres puntos de la cadena de pago: cuando se incorpora un proveedor, cuando cambian los detalles del beneficiario y cuando se ejecuta una transacción. Los módulos de Didit abordan los tres.

Verificación de correo electrónico: detecte remitentes sospechosos antes de que se extienda la confianza

El módulo de Verificación de Correo Electrónico de Didit (0,03 $ por verificación) ejecuta el envío y verificación de OTP más una capa de señales de riesgo en menos de dos segundos. Para BEC, las señales de riesgo son lo más importante:

  • Exposición a brechas — la dirección aparece en violaciones de datos conocidas, lo que sugiere que puede estar comprometida o recolectada
  • Detección de proveedores desechables — un dominio temporal o de un solo uso, consistente con una cuenta creada para el ataque
  • Capacidad de entrega — la dirección no acepta correos electrónicos, por lo que el "proveedor" puede enviar pero nunca recibir respuestas
  • Reputación del dominio — el dominio es nuevo, marcado o muestra características de similitud

Códigos de advertencia devueltos: BREACHED_EMAIL, DISPOSABLE_EMAIL, UNDELIVERABLE_EMAIL, DUPLICATED_EMAIL. Usted configura si cada uno activa aprobar, revisar o rechazar en la Consola de Negocios. Para la incorporación de proveedores o beneficiarios, configurar DISPOSABLE_EMAIL y UNDELIVERABLE_EMAIL para forzar la revisión es una detección de bajo esfuerzo y alta señal. Ejecútelo al incorporar un proveedor, registrar un beneficiario o procesar un cambio de detalles bancarios, no solo al registrarse.

Verificación de identidad: confirme que el solicitante es quien dice ser

Para el desvío de nómina y las solicitudes internas de cambio de cuenta, una sesión de verificación agrega una segunda señal irrefutable: requerir una verificación de identidad breve confirma que la persona al teclado es el empleado registrado.

El flujo central de KYC (Verificación de ID + Liveness Pasivo + Coincidencia Facial 1:1 + Análisis de IP/Dispositivo) se ejecuta a 0,33 $ por sesión. Los SDK de Didit cubren Web, iOS, Android, React Native y Flutter, por lo que puede incrustarlo en su portal de RRHH o nóminas con una sola llamada a la API y leer el resultado a través de webhook o el punto final de decisión. La señal del dispositivo también ayuda: si la sesión se ejecuta desde un dispositivo o IP nunca asociado con ese empleado, se activará DUPLICATED_DEVICE_FINGERPRINT o EXPECTED_IP_ADDRESS_MISMATCH.

Verificación de Negocios (KYB): valide a los proveedores antes del primer pago

El fraude de facturas de proveedores funciona porque a veces se incorporan nuevos proveedores con confianza: un correo electrónico, un PDF firmado, una llamada telefónica. La Verificación de Negocios (KYB, desde 2,00 $) cierra esa brecha con una cadena programática:

  • Búsqueda en el registro — confirma que la empresa existe y está activa en su jurisdicción
  • Extracción de beneficiario final y datos de funcionarios — revela quién controla realmente la entidad
  • Cribado AML de la entidad — verifica la empresa y los directores contra más de 1.300 listas de sanciones, PEP y medios adversos
  • Sesiones KYC vinculadas — cada beneficiario final puede ser sometido a una verificación de identidad individual completa, cerrando el ciclo entre la entidad y el ser humano

Un proveedor con una empresa recién registrada, un correo electrónico no entregable y sin presencia en el registro es exactamente el perfil que crean los operadores de BEC. KYB lo detecta antes de que se pague la primera factura.

Monitoreo de Transacciones: detecta pagos anómalos en tiempo real

Incluso con fuertes controles de incorporación, BEC puede secuestrar una relación existente: un atacante que compromete el correo electrónico de un proveedor real solicita un cambio en los detalles bancarios de una cuenta real. El proveedor es real, la factura es real, solo el destino ha cambiado.

El Monitoreo de Transacciones (0,02 $ por transacción) detecta la anomalía de comportamiento: un pago a una cuenta que el proveedor nunca ha utilizado, una cantidad fuera de su rango histórico o un cambio repentino en la frecuencia. El motor de reglas envía 11 paquetes preestablecidos que cubren velocidad, cantidad, contraparte y geografía, y puede añadir reglas personalizadas. Las coincidencias entran en la gestión de casos para revisión humana, y un bucle de remediación automática AWAITING_USER puede bloquear pagos de menor riesgo hasta que el usuario de origen complete una reverificación de identidad antes de proceder.

Casos de uso

Cuentas por pagar: incorporación de proveedores y cambios de detalles bancarios

Ejecute Verificación de Correo Electrónico + KYB al agregar un nuevo proveedor o cambiar los detalles de pago. Un dominio desechable o un error de registro detiene al proveedor fraudulento antes de cualquier pago.

RRHH y nóminas: cambios de cuenta de nómina de empleados

Requiera un paso de KYC cada vez que un empleado cambie los detalles de depósito directo. La biometría + la prueba de vida confirman que el empleado está presente; las señales de dispositivo e IP confirman que la sesión se origina en un contexto conocido.

Operaciones financieras: monitoreo de transferencias salientes

Ejecute el Monitoreo de Transacciones en los flujos salientes. Marque las contrapartes por primera vez, los pagos por encima de los umbrales históricos y las cuentas agregadas recientemente, y diríjalos a un revisor antes de la ejecución.

Pagos de plataformas y mercados

Si su producto desembolsa fondos a empresas o autónomos, el fraude tipo BEC es un riesgo a nivel de plataforma. KYB en beneficiarios comerciales y Verificación de Correo Electrónico al registrarse son controles básicos.

Cómo integrarse con Didit

Todas las verificaciones se ejecutan dentro de una sesión de verificación de Didit. Cree una sesión con el flujo de trabajo que incluye los módulos que necesita (Verificación de Correo Electrónico, KYC, KYB, Monitoreo de Transacciones), luego lea la decisión a través de webhook o el punto final de decisión.

curl -X POST 'https://verification.didit.me/v3/session/' \
  -H 'x-api-key: YOUR_API_KEY' \
  -H 'Content-Type: application/json' \
  -d '{
    "workflow_id": "YOUR_WORKFLOW_ID",
    "vendor_data": "vendor-onboarding-456",
    "callback": "https://yourapp.com/webhook"
  }'
curl 'https://verification.didit.me/v3/session/{sessionId}/decision/' \
  -H 'x-api-key: YOUR_API_KEY'

Referencia completa: Verificación de Correo Electrónico · KYB · Monitoreo de Transacciones · modelos de datos.

Preguntas frecuentes

¿Qué diferencia a BEC del phishing ordinario?

El phishing generalmente roba credenciales engañando a un usuario para que las ingrese en algún lugar. BEC omite ese paso: utiliza un correo electrónico de confianza para manipular al objetivo para que transfiera dinero o cambie directamente los detalles bancarios. No es necesario robar credenciales; el ataque tiene éxito si el objetivo simplemente cumple.

¿Cómo ayuda la Verificación de Correo Electrónico si el atacante utiliza una cuenta real que ha comprometido?

Para las variantes de compromiso de cuenta, la señal de exposición a brechas es la más relevante: si la dirección aparece en conjuntos de datos de brechas conocidos, es un indicador de que la cuenta podría haber sido tomada. Las señales de capacidad de entrega y reputación del dominio ayudan con dominios similares. El compromiso de cuenta es la variante más difícil de detectar solo por la dirección, por lo que es importante combinar las verificaciones de correo electrónico con el monitoreo de transacciones conductuales.

¿En qué momento se debe requerir KYB para un nuevo proveedor?

Antes del primer pago. El costo de ejecutar KYB (desde 2,00 $ por entidad) es insignificante en relación con una transferencia fraudulenta. Como mínimo, active KYB cada vez que se agregue un nuevo beneficiario o cambien los detalles bancarios de un beneficiario existente.

¿Didit cubre negocios fuera de la UE y EE. UU.?

Sí. La Verificación de Negocios cubre registros en más de 220 países y territorios, el cribado AML cubre más de 1.300 listas globales, y el Monitoreo de Transacciones maneja fiat y cripto. Didit es el único proveedor de identidad formalmente certificado por un gobierno de un estado miembro de la UE (Tesoro / Banco de España / SEPBLAC de España) como más seguro que la verificación en persona.

¿Listo para empezar?

BEC es tanto un problema de proceso como de tecnología, pero la tecnología adecuada hace que los controles de proceso sean viables a escala. La verificación de correo electrónico, los controles de identidad, KYB y el monitoreo de transacciones de Didit se combinan para crear el flujo de trabajo exacto que requieren sus procesos de incorporación y pago.

Infraestructura para identidad y fraude.

Una API para KYC, KYB, Monitoreo de Transacciones y Detección de Fraude en Wallets. Intégrala en 5 minutos.

Empieza gratisHabla con nosotros
Pide a una IA que resuma esta página
BEC: Cómo Detener el Compromiso de Correo Empresarial | Didit.