How can I tell if an email from my CEO or executive is actually legitimate?

Never reply to an email requesting a wire transfer without independently verifying the request through a known phone number from your company directory. Call the executive directly, or ask their assistant to confirm. Legitimate executives understand and expect this verification process, especially for unusual or large transfers. Do not use contact information provided in the suspicious email, as that may also be compromised.

What should I do if I've already sent money to a fraudulent wire transfer?

Contact your bank immediately and request that they initiate a recall of the wire transfer. While recovery is difficult after funds clear, some banks can block transfers before they reach the destination account. Simultaneously, report the fraud to your company's security and legal teams, and file a report with the FBI's Internet Crime Complaint Center (IC3) at ic3.gov. Document all details of the transaction and communication for law enforcement.

Can email spoofing defeat our email security systems?

Email spoofing can bypass basic security measures, especially if your company has not implemented SPF, DKIM, and DMARC authentication protocols. However, even with these tools in place, attackers can compromise legitimate employee accounts or create lookalike domains that appear nearly identical to your domain. This is why voice verification remains the most reliable protection against BEC scams, as it confirms identity through direct communication.

Our company processes dozens of wire transfers daily. How can we maintain security without slowing down operations?

Implement tiered verification procedures based on transfer amount and frequency. Small, routine transfers to known vendors may require only email verification, while large transfers or new payment destinations should always require voice confirmation from at least two authorized personnel. Use pre-approved vendor lists and payment accounts to expedite routine transactions while adding checkpoints for unusual requests.

How do scammers research my company's structure and processes?

Attackers gather information from LinkedIn, company websites, press releases, SEC filings, social media, and publicly available organizational charts. They may also subscribe to company newsletters or review published emails leaked in previous data breaches. Some criminals even conduct phishing attacks on company employees to harvest email addresses and communication patterns. This is why companies should limit publicly available organizational information and train employees to be cautious about what information they share online.

Critical Average Loss: $50,000 Typical Duration: 1-30 days

Estafas de Compromiso de Correo Electrónico Empresarial (BEC)

Las estafas de Compromiso de Correo Electrónico Empresarial (BEC) representan uno de los esquemas de fraude más costosos dirigidos a organizaciones en todo el mundo. En estos ataques, los criminales investigan las jerarquías corporativas y patrones de comunicación, luego utilizan cuentas de correo electrónico falsificadas o comprometidas para hacerse pasar por ejecutivos, frecuentemente el CEO o CFO, y solicitan transferencias bancarias urgentes o información sensible. El Centro de Denuncias de Delitos por Internet (IC3) del FBI informó que las estafas BEC causaron más de 2.700 millones de dólares en pérdidas en casi 21.000 denuncias en 2023, con pérdidas promedio superiores a 50.000 dólares por incidente. Lo que hace que BEC sea particularmente peligroso es que explota procesos comerciales legítimos—la mayoría de las organizaciones procesan transferencias bancarias regularmente—lo que hace que la solicitud fraudulenta parezca rutinaria para el personal de contabilidad ocupado. Los estafadores a menudo realizan semanas de reconocimiento, monitoreando patrones de correo electrónico, ciclos financieros y cambios de personal antes de atacar, por lo que incluso empleados conscientes de la seguridad pueden ser víctimas.

Common Tactics How to Identify How to Protect Yourself Real-World Examples Frequently Asked Questions

Common Tactics

• Suplantación de identidad de ejecutivos mediante correo electrónico falsificado: Los estafadores crean direcciones de correo electrónico que imitan estrechamente la dirección real del CEO o CFO, diferenciándose por solo uno o dos caracteres ('[email protected]' en lugar de '[email protected]'), o comprometen una cuenta de correo electrónico interna legítima para enviar solicitudes que parecen venir directamente del liderazgo de la empresa.
• Encuadre de solicitud urgente con escenarios fabricados: Los criminales presionan a los empleados afirmando que la transferencia bancaria es necesaria para una adquisición confidencial, pago de emergencia a un proveedor, acuerdo legal, u oportunidad comercial sensible al tiempo que no puede ser discutida con otros miembros del personal debido a preocupaciones de confidencialidad o competencia.
• Investigación y reconocimiento: Antes de lanzar el ataque, los estafadores pasan semanas o meses estudiando la estructura organizativa de la empresa objetivo, procesos financieros, nombres de empleados y noticias recientes para elaborar solicitudes que se alineen con actividades comerciales normales y hagan referencia a escenarios realistas.
• Solicitud de transferencia bancaria a cuentas inesperadas: El estafador dirige al empleado a enviar fondos a una cuenta bancaria que difiere de la cuenta normal del proveedor, alegando que el proveedor cambió temporalmente de banco, la empresa matriz tiene un nuevo portal de pagos, o los fondos deben ir a una cuenta de depósito en garantía mantenida por un despacho de abogados.
• Supresión de intentos de verificación: Cuando se cuestiona, el ejecutivo falso afirma que está en reuniones consecutivas, viajando internacionalmente, lidiando con una emergencia personal, o no puede discutir detalles por correo electrónico, evitando deliberadamente que el empleado llame para verificar la solicitud a través de canales normales.
• Seguimiento de urgencia y tácticas de distracción: Los estafadores envían correos electrónicos de seguimiento afirmando que el acuerdo se está desmoronando, los competidores están listos para adquirir el objetivo, o el proveedor trabajará con otra empresa a menos que se realice el pago de inmediato, manteniendo la presión e impidiendo la reflexión.

How to Identify

Solicitud inesperada de transferencia bancaria del liderazgo de la empresa alegando urgencia o confidencialidad: Los ejecutivos legítimos rara vez utilizan correo electrónico para solicitar transferencias bancarias urgentes sin confirmación verbal de seguimiento o procedimientos de adquisición establecidos, especialmente para destinos de pago inusuales.
Dirección de correo electrónico que es similar pero no idéntica a direcciones conocidas de ejecutivos: Examine cuidadosamente la dirección de correo electrónico completa—los estafadores a menudo cambian una letra o utilizan un nombre de dominio similar que parece legítimo a primera vista pero difiere del dominio conocido de la empresa.
Solicitud de enviar fondos a una cuenta diferente del historial de pagos establecido del proveedor: Si un proveedor habitual de repente solicita el pago a una nueva cuenta bancaria, especialmente una cuenta internacional, esta es una señal de alerta importante que debe desencadenar verificación independiente.
Presión para eludir los procedimientos de aprobación normales o mantener la solicitud confidencial: Las transacciones comerciales legítimas siguen flujos de autorización establecidos; las solicitudes para eludir estos controles u ocultar la transacción de otros ejecutivos indican intención fraudulenta.
Lenguaje vago sobre el motivo de la transferencia combinado con negativa a discutir detalles: Los estafadores proporcionan especificaciones mínimas sobre el propósito de la transferencia y se niegan a elaborar, citando confidencialidad, mientras que las solicitudes comerciales legítimas típicamente incluyen órdenes de compra detalladas, facturas o contratos.
Estilo de comunicación inconsistente o errores gramaticales en correos electrónicos de ejecutivos: Si los correos electrónicos de un ejecutivo de la empresa contienen frases inusuales, errores gramaticales, o un tono que difiere de su estilo de comunicación normal, esto puede indicar una cuenta comprometida o falsificada.

How to Protect Yourself

Establecer un protocolo de verificación de transferencia bancaria que requiera confirmación verbal: Antes de procesar cualquier solicitud de transferencia bancaria, requiera que los empleados llamen al solicitante utilizando un número de teléfono del directorio interno de la empresa (no un número proporcionado en el correo electrónico) para confirmar verbalmente la solicitud, cantidad y destino del pago.
Implementar aprobación múltiple para transferencias bancarias por encima de una cantidad umbral: Requiera que las solicitudes de transferencia bancaria por encima de un monto en dólares especificado (10.000, 25.000 o superior dependiendo del tamaño de la empresa) sean aprobadas por al menos dos personas autorizadas, con verificación realizada independientemente por cada aprobador.
Utilizar tecnologías de autenticación de correo electrónico: Implemente SPF (Marco de Política de Remitente), DKIM (Correo Identificado por Claves de Dominio) y DMARC (Autenticación, Informe y Conformidad Basados en Dominio) para prevenir la suplantación de su propio dominio, y capacite a los empleados para reconocer cuándo estas protecciones están ausentes en correos electrónicos externos.
Conducir capacitación regular sobre tácticas BEC para personal de finanzas, contabilidad y ejecutivo: Proporcione capacitación anual o semestral de conciencia de seguridad que incluya ejemplos reales de estafas BEC, instrucción sobre procedimientos de verificación, y ejercicios de simulación donde los empleados practican la identificación de solicitudes sospechosas.
Mantener una lista actualizada de destinos de pago autorizados y verificar todos los cambios a través de canales secundarios: Mantenga una lista documentada de todos los proveedores habituales y su información de cuenta bancaria autorizada, y requiera que cualquier cambio en el destino de pago sea verificado directamente con el proveedor utilizando un número de teléfono conocido antes de procesar.
Monitorear la suplantación de dominio y configurar alertas de correo electrónico para actividad sospechosa: Utilice herramientas de seguridad de correo electrónico que marquen correos electrónicos de direcciones externas que se asemejen estrechamente a direcciones internas, y configure alertas para actividad inusual de transferencia bancaria, como transferencias a nuevos beneficiarios o destinos internacionales que no sean típicos para su empresa.

Real-World Examples

El gerente de contabilidad de una empresa manufacturera mediana recibió un correo electrónico que parecía ser del CEO solicitando una transferencia bancaria urgente de 87.000 dólares a un despacho de abogados para el cierre de una adquisición confidencial ese mismo día. El correo electrónico provenía de '[email protected]' (en realidad '[email protected]' con una 's' adicional), y el gerente, bajo presión de tiempo, procesó la transferencia sin llamar para verificar. Cuando la asistente real del CEO hizo seguimiento preguntando sobre la transferencia bancaria la mañana siguiente, el fraude fue descubierto, pero los fondos ya habían sido transferidos a través de cuentas intermediarias en Europa del Este y eran irrecuperables.

Un empleado de cuentas por pagar en una empresa de servicios de salud recibió un correo electrónico del CFO solicitando el pago inmediato de 143.000 dólares a un nuevo proveedor para actualizaciones de infraestructura informática. El correo electrónico enfatizaba que el acuerdo estaba cerrando ese día y no podía ser discutido con otro personal debido a confidencialidad. El empleado procesó la transferencia a la cuenta proporcionada pero luego descubrió que no existía ningún proyecto informático legítimo y que el correo electrónico del CFO había sido comprometido a través de un ataque de phishing. El estafador había pasado dos semanas monitoreando las comunicaciones por correo electrónico de la empresa para identificar patrones de pago y personal clave.

El controlador de una empresa de servicios financieros recibió múltiples correos electrónicos durante tres días que parecían ser del CEO solicitando transferencias bancarias totalizando 287.000 dólares para el pago de un proveedor de emergencia y acuerdo legal. Cada correo electrónico incluía referencias internas específicas y terminología que sugería conocimiento legítimo de las operaciones de la empresa. El controlador se volvió sospechoso cuando una solicitud de seguimiento llegó del 'CEO' pidiendo que la transacción se completara 'discretamente' sin notificar al CFO. La investigación reveló que el atacante había comprometido la cuenta de correo electrónico de un empleado de marketing junior y la utilizó para estudiar las comunicaciones internas de la empresa durante dos semanas antes de lanzar el ataque.

Frequently Asked Questions

¿Cómo puedo saber si un correo electrónico de mi CEO o ejecutivo es realmente legítimo?

Nunca responda a un correo electrónico que solicite una transferencia bancaria sin verificar independientemente la solicitud a través de un número de teléfono conocido de su directorio de empresa. Llame al ejecutivo directamente, o pida a su asistente que confirme. Los ejecutivos legítimos entienden y esperan este proceso de verificación, especialmente para transferencias inusuales o grandes. No utilice la información de contacto proporcionada en el correo electrónico sospechoso, ya que eso también puede estar comprometido.

¿Qué debo hacer si ya he enviado dinero a una transferencia bancaria fraudulenta?

Contacte a su banco de inmediato y solicite que inicien una retractación de la transferencia bancaria. Aunque la recuperación es difícil después de que los fondos se liquidan, algunos bancos pueden bloquear transferencias antes de que lleguen a la cuenta de destino. Simultáneamente, informe el fraude a los equipos de seguridad y legal de su empresa, y presente un informe ante el Centro de Denuncias de Delitos por Internet (IC3) del FBI en ic3.gov. Documente todos los detalles de la transacción y la comunicación para las fuerzas del orden.

¿Puede la falsificación de correo electrónico eludir nuestros sistemas de seguridad de correo electrónico?

La falsificación de correo electrónico puede eludir medidas de seguridad básicas, especialmente si su empresa no ha implementado protocolos de autenticación SPF, DKIM y DMARC. Sin embargo, incluso con estas herramientas en su lugar, los atacantes pueden comprometer cuentas de empleados legítimos o crear dominios similares que se parezcan casi idénticamente a su dominio. Por esta razón, la verificación de voz sigue siendo la protección más confiable contra estafas BEC, ya que confirma la identidad a través de comunicación directa.

Nuestra empresa procesa docenas de transferencias bancarias diariamente. ¿Cómo podemos mantener la seguridad sin ralentizar las operaciones?

Implemente procedimientos de verificación escalonados basados en el monto de la transferencia y la frecuencia. Las transferencias pequeñas y rutinarias a proveedores conocidos pueden requerir solo verificación por correo electrónico, mientras que las transferencias grandes o nuevos destinos de pago siempre deben requerir confirmación verbal de al menos dos personas autorizadas. Utilice listas de proveedores preaprobadas y cuentas de pago para agilizar transacciones rutinarias mientras agrega puntos de control para solicitudes inusuales.

¿Cómo investigan los estafadores la estructura y los procesos de mi empresa?

Los atacantes recopilan información de LinkedIn, sitios web de empresas, comunicados de prensa, presentaciones de la SEC, redes sociales y organigramas públicamente disponibles. También pueden suscribirse a boletines de la empresa o revisar correos electrónicos publicados filtrados en violaciones de datos anteriores. Algunos criminales incluso realizan ataques de phishing contra empleados de la empresa para recopilar direcciones de correo electrónico y patrones de comunicación. Por esta razón, las empresas deben limitar la información organizativa públicamente disponible y capacitar a los empleados para que tengan cuidado sobre qué información comparten en línea.

Empezar Aquí

Verificación de seguridad

Inteligencia

Herramientas e informes

Servicios premium

Extensión y API