También se conoce por sus siglas BEC (Business Email Compromise en inglés). En este ataque el ciberdelincuente compromete la cuenta corporativa de correo electrónico de un empleado con el objetivo de infectarlo, mandar correos haciéndose pasar por él o engañar a contactos en su nombre. Empresas de cualquier tamaño pueden ser víctimas de esta amenaza. El ciberdelincuente suele suplantar la identidad de una persona o entidad incluyendo dominios similares a los oficiales o nombres de marcas ficticias simulando ser marcas reales para engañar al empleado y que realice una transferencia de dinero. También nombran empresas o personas conocidas de la víctima para resultar más creíbles y no levantar sospechas.
Otro caso es el conocido como fraude al CEO cuando los ciberdelincuentes crean un mensaje falso suplantando la identidad de un responsable de la empresa creando dominios casi idénticos para engañarle mediante técnicas de ingeniería social para que realice alguna acción que ponga en riesgo la seguridad de la empresa como el envío de información confidencial o de transferencias bancarias. El correo comprometido empresarial es una de las técnicas más lucrativas y rentables para los ciberdelincuentes, pues es sencilla y económica al no requerir de grandes conocimientos informáticos.
La práctica más habitual es solicitar por parte de un superior a alguien del departamento financiero una transferencia de dinero muy urgente saltándose el proceso habitual. Eso puede provocar un gran impacto en la organización, por los costes económicos tan altos y por los daños a su reputación. También puede ocurrir que los ciberdelincuentes secuestren y se hagan con el control del correo electrónico del empleado. En este caso, pueden solicitar transferencias de dinero en su nombre o intentar engañar a personas autorizadas para ello desde la cuenta de la víctima. Este ataque suele dirigirse a ejecutivos de alto nivel, empleados del departamento de finanzas, de recursos humanos, marketing o ventas. Los asuntos de los mensajes suelen ser breves y simples, sin adornos ni florituras.
Para protegerse de este tipo de ataque se aconseja revisar cuidadosamente la dirección de correo del remitente. Además, si el remitente, el asunto o el cuerpo del mensaje parecen sospechosos o inesperados, lo mejor es contactar directamente con esa persona o entidad por otro medio para verificar que realmente lo ha enviado. Conviene asegurarse por teléfono de que ha sido realmente él o ella quien ha enviado ese extraño mail, antes de cumplir lo que nos ha pedido. Por ello, resultan imprescindibles las medidas de protección empleadas sobre los sistemas de correo electrónico.
