Logotipo Servicios Integrales Para Pymes
Cita online
,

Brechas “silenciosas” por correo corporativo (BEC): suplantación, fraude y fuga de datos

Qué es un BEC y por qué es tan peligroso en pymes

Los ataques tipo BEC (Business Email Compromise) no suelen parecer “ciberataques” a primera vista. No hay ventanas emergentes, ni equipos cifrados, ni un “virus” evidente. Lo que hay es una conversación de correo aparentemente normal: un proveedor que pide cambiar la cuenta bancaria, una dirección que solicita un pago urgente, o una persona que “confirma” datos para una factura. Por eso se llaman brechas silenciosas: el daño se produce mientras la empresa cree que todo es rutinario.

En pymes, el BEC es especialmente crítico porque el correo suele ser el “centro operativo” de facturación, contratos, datos de clientes, comunicaciones internas y credenciales de acceso a herramientas. Un solo buzón comprometido puede permitir:

  • redirigir pagos (fraude),
  • obtener datos personales adjuntos (nóminas, contratos, presupuestos, listados),
  • solicitar a empleados datos de terceros o documentos,
  • acceder a enlaces de recuperación de contraseñas y tomar control de otras cuentas.

Desde el RGPD, estos incidentes pueden implicar acceso no autorizado a datos personales, lo que obliga a evaluar si estamos ante una violación de seguridad de los datos personales (brecha) y si procede notificación a la autoridad (art. 33) y/o comunicación a las personas afectadas (art. 34). Además, el responsable debe aplicar medidas apropiadas al riesgo (art. 32) y cumplir el principio de integridad y confidencialidad (art. 5.1.f).

Beneficios de abordar BEC como “proceso” y no como “antivirus”

La mayoría de BEC no se detienen solo con una herramienta. Se detienen con una combinación de:

  • medidas técnicas (MFA, reglas anti-phishing, bloqueo de reenvíos sospechosos),
  • medidas organizativas (verificación de cambios bancarios, doble aprobación),
  • evidencias (procedimientos, registros de verificación y de respuesta).

Cuando se hace bien, los beneficios son directos:

  • Reducción de fraude económico.
  • Menos fugas de datos personales por adjuntos o hilos.
  • Mejor capacidad de contención y análisis forense.
  • Decisiones defendibles ante clientes, auditorías y autoridad.

Riesgos típicos (privacidad y vulnerabilidad)

Riesgos de privacidad

  1. Exposición de datos en adjuntos: presupuestos con datos de contacto, contratos con DNI, nóminas, informes médicos (en algunos sectores), listados de clientes.
  2. Suplantación para recabar más datos: “Envíame el documento X” o “Confírmame el dato Y”.
  3. Reutilización de hilos: el atacante responde en una conversación real (con contexto) y la víctima confía.
  4. Acceso a información interna: organigramas, firmas, procesos, horarios y rutinas.

Riesgos de seguridad

  1. MFA no activado en correo y paneles críticos.
  2. Reenvíos automáticos a cuentas externas para “exfiltrar” silenciosamente.
  3. Reglas de bandeja que ocultan correos (borran avisos, archivan alertas).
  4. Contraseñas reutilizadas o filtradas por brechas externas.
  5. Verificación de pagos débil: un solo correo desencadena una transferencia.

RGPD aplicado: bases, brecha y decisiones (sin improvisar)

Cuando ocurre un BEC, lo crítico es separar dos planos: fraude económico y brecha de datos personales. Puede haber uno sin el otro, o ambos.

  • Art. 32 RGPD (seguridad): pide medidas apropiadas al riesgo. En correo, esto se traduce en MFA, control de accesos, supervisión de reenvíos, detección de inicios de sesión anómalos, y procedimientos internos de verificación para operaciones sensibles.
  • Art. 33 RGPD (notificación): si la brecha puede suponer un riesgo para los derechos y libertades, se valora notificar a la autoridad sin dilación indebida. Debe documentarse qué se sabe, qué se ha hecho para contener y por qué se decide notificar o no.
  • Art. 34 RGPD (comunicación a las personas): si es probable que exista alto riesgo, se valora comunicar a las personas afectadas con información útil para mitigar (por ejemplo, si se han expuesto datos que facilitan suplantación, fraude o acceso a cuentas).

La clave es la evaluación de riesgo: tipo de datos, volumen, evidencia de acceso/descarga, alcance del buzón, destinatarios potenciales y medidas mitigadoras (cambio de contraseñas, revocación de sesiones, bloqueo de reenvíos, revisión de accesos, alerta a entidades bancarias si hay fraude).

Seguridad vs privacidad: trazabilidad y evidencias con límites

Para investigar un BEC necesitas logs y trazabilidad (inicios de sesión, reglas creadas, reenvíos). Esto es legítimo por finalidad de seguridad, pero debe aplicarse con proporcionalidad:

  • acceso restringido a registros,
  • plazos coherentes,
  • uso finalista (investigación y prevención),
  • evitar convertir el control en vigilancia general.

¿EIPD obligatoria?

En general, no por el hecho de gestionar correo. Sin embargo, si la organización implanta monitorización intensiva y permanente del comportamiento individual con fines más allá de seguridad (por ejemplo, evaluación sistemática del desempeño), puede elevarse el riesgo y ser necesario un análisis reforzado de proporcionalidad y, si procede, EIPD (art. 35). Para BEC, lo habitual es justificar controles de seguridad y documentarlos, sin necesidad de EIPD salvo escenarios muy intrusivos.

Medidas proporcionales recomendables (muy efectivas en BEC)

Prevención

  • MFA obligatoria en correo, nube, CRM y accesos remotos.
  • Bloqueo o revisión de reglas de reenvío automático a dominios externos.
  • Alertas por inicios de sesión anómalos (países/horarios).
  • Políticas anti-phishing y autenticación de dominio (cuando sea posible en tu entorno).
  • Formación práctica: identificar urgencias, cambios bancarios y enlaces sospechosos.

Proceso antifraude

  • Verificación fuera de banda para cambios de cuenta bancaria (llamada a número verificado, no el del correo).
  • Doble aprobación para pagos por encima de umbral.
  • “Frases rojas” internas: “urgente”, “confidencial”, “no lo comentes” = activar protocolo.

Respuesta

  • Revocar sesiones, cambiar credenciales, revisar reglas del buzón, revisar accesos y alcance.
  • Evaluar datos expuestos y documentar decisiones RGPD.
  • Si procede: notificación/comunicación con contenido útil y proporcional.

Ten en cuenta

Cada BEC varía según plataforma, evidencias disponibles y tipo de datos. Para decisiones críticas (notificación, comunicaciones masivas o fraude relevante), conviene revisión jurídica y técnica específica.

Facebook
Twitter
LinkedIn
Email
WhatsApp
Telegram
Skype
Print
Imagen de admin
admin

Boletin informativo

Suscríbete al boletín informativo para estar al día

Por favor, antes de enviar tus datos lee la política de privacidad

Últimas publicaciones