Imagina que recibes un SMS: “Tu cuenta será bloqueada si no confirmas tu identidad”. O una llamada de alguien que se presenta como tu banco, urgente, insistente. Lo que sigue puede ser un clic, un OTP compartido, una transferencia que nunca volverás a ver.
El BEC (Business Email Compromise) lleva años entre nosotros, instituciones como Interpol, con su campaña #BECareful, ya han advertido del auge de este tipo de fraude. Pero con la tecnología y la inteligencia artificial se ha renovado, haciéndose más sofisticado y difícil de detectar.
Según análisis del sector, los ataques crecieron un 37 % entre 2024 y 2025, con un coste promedio de más de 125.000 dólares por incidente. Su fuerza está en la habilidad de engañar al usuario y aprovecharse de la interacción humana con sistemas que, en apariencia, son seguros.
Para bancos y fintechs, esto significa que el enemigo no siempre está fuera del sistema: a veces está dentro de una sesión aparentemente legítima, manipulada desde un portal falso o mediante SMS y llamadas que imitan la voz de la entidad.
¿Por qué el Business Email Compromise es una amenaza para entidades financieras?
El BEC nació ligado al mundo corporativo: órdenes de pago falsas, cambios de cuentas de proveedores, instrucciones urgentes de directivos. Hoy, su lógica encaja perfectamente con el ecosistema financiero: el atacante ya no se limita al correo electrónico. Combina email, SMS, llamadas, mensajería instantánea y páginas de phishing para construir una narrativa creíble alrededor de la marca de la entidad.
El flujo del ataque suele repetirse en tres pasos:
- Datos reales como cebo: nombres, cargos, IBAN o patrones de relación, obtenidos de filtraciones previas o fuentes abiertas.
- Autoridad y urgencia: un mensaje sobre revisión de seguridad, bloqueo de cuenta o cambio normativo.
- Acción aparentemente razonable: compartir un OTP, validar un acceso, aprobar un beneficiario o confirmar una transferencia inmediata.
El BEC supone un riesgo directo de fraude y erosiona la confianza digital, justo cuando los bancos potencian las operaciones remotas y journeys online.
Por eso, soluciones como onboarding biométrico remoto, MFA sin contraseñas y biometría del comportamiento son críticas: ayudan a distinguir entre un usuario genuino y una sesión manipulada por un atacante.
Señales operativas de que un ataque BEC está en marcha
Identificar un ataque BEC a tiempo requiere observar patrones operativos que, por sí solos, podrían parecer inocuos, pero combinados forman señales claras de que algo está mal. Estas son las más frecuentes:
Ingeniería social
- aumento de SMS o WhatsApp con enlaces falsos (smishing)
- llamadas urgentes solicitando OTP o credenciales (vishing)
Actividad de sesión
- logins anómalos seguidos de operaciones aparentemente válidas
- cambios de dispositivo o ubicación antes de operaciones críticas
Comportamiento transaccional
- creación de nuevos beneficiarios seguida de pagos inmediatos
- transacciones fuera del patrón habitual del cliente
Infraestructura del ataque
- campañas LOTS (Living Off Trusted Sites) en plataformas legítimas
- SIM swap o port-out coincidiendo con movimientos sospechosos
Ocho medidas para evitar los BEC en banca y fintech
Integrar seguridad e inteligencia operativa sin afectar la experiencia del cliente es la clave. De hecho, organismos del sector como el FS-ISAC (Financial Services Information Sharing and Analysis Center) recomiendan combinar inteligencia compartida, educación del cliente y tecnologías de autenticación más robustas.
Muchas entidades están reforzando estas estrategias con soluciones de identidad digital y autenticación biométrica, que permiten confirmar usuarios legítimos y reducir el riesgo de fraude sin añadir fricción innecesaria.
Algunas de las medidas recomendadas son:
- Inteligencia antifraude coordinada: Programas permanentes de detección de campañas y respuesta coordinada entre entidades financieras y proveedores tecnológicos.
- Canales de reporte accesibles: Sistemas que permitan a los clientes reportar correos o SMS sospechosos con un solo clic.
- Catálogo público de canales oficiales: Listados verificables de dominios, números de teléfono y aplicaciones legítimas.
- Colaboración con operadoras y proveedores tecnológicos: Ayuda a frenar campañas de smishing y spoofing desde su origen.
- Multi-factor authentication (MFA): Sustituir métodos vulnerables como OTP por SMS por sistemas más robustos.
- Análisis contextual: Evaluar el contexto de cada interacción antes de permitir acciones sensibles.
- Fricción inteligente: Aplicar verificaciones adicionales solo en acciones críticas, como añadir beneficiarios o realizar un primer pago.
- Educación al usuario: Recordatorios simples y constantes para los clientes, como “tu banco nunca te pedirá un código por teléfono” o “verifica siempre el canal oficial”.
La confianza digital como nueva línea de defensa
El BEC demuestra que el fraude financiero ya no depende únicamente de vulnerabilidades técnicas. Cada vez más se basa en explotar la confianza del usuario y manipular interacciones digitales.
En un entorno donde los pagos son instantáneos y la relación con el cliente es cada vez más digital, detectar estas señales a tiempo y aplicar controles inteligentes se vuelve una prioridad estratégica para bancos y fintechs.
Tecnologías basadas en identidad digital verificable, autenticación biométrica y análisis contextual de las sesiones permiten avanzar hacia ese objetivo: proteger las operaciones sin comprometer la experiencia del cliente.