La transformación digital ha traído eficiencia, pero también ha ampliado su exposición a nuevas amenazas. Durante el primer semestre de 2025, el Perú fue víctima de 748,2 millones de intentos de ciberataques, según el laboratorio de inteligencia FortiGuard Labs. A nivel regional, Latinoamérica concentró el 25% de las detecciones globales, posicionándose como una de las zonas más vulnerables frente a amenazas digitales cada vez más sofisticadas.

Dentro de este escenario, uno de los esquemas que más preocupa al sector corporativo es el Compromiso de Correo Empresarial (Business Email Compromise, BEC), un fraude basado en suplantación de identidad que busca engañar a empresas para modificar cuentas bancarias o ejecutar transferencias hacia cuentas fraudulentas.

Alfredo Marcos, Oficial de Seguridad de la Información en Hunter Perú, explica que el BEC no requiere malware complejo. “Es un ataque basado en ingeniería social. El delincuente estudia a la organización, replica estilos de comunicación y genera sensación de urgencia para evitar que se verifique la solicitud”, señala.

¿Cómo opera el Compromiso de Correo Electrónico (BEC)?

El atacante recopila información pública o interna de la empresa y envía un correo que aparenta provenir de una fuente legítima, como un proveedor, gerente o colaborador. El mensaje solicita el cambio de cuenta bancaria para un pago pendiente o instruye una transferencia urgente. Si la organización no cuenta con protocolos de validación, el dinero puede terminar en manos del estafador en cuestión de horas. Las consecuencias van más allá de la pérdida económica. Este tipo de fraude puede generar conflictos contractuales, afectar la relación con proveedores estratégicos, comprometer pagos de planilla y provocar un impacto reputacional significativo.

Claves para prevenir el desvío de pagos

El especialista recomienda implementar medidas concretas:

• Confirmar por un segundo canal independiente (llamada telefónica directa) cualquier cambio de cuenta bancaria.
• Implementar doble aprobación para transferencias de montos relevantes.
• Capacitar periódicamente a áreas administrativas y financieras en detección de correos sospechosos.
• Activar autenticación multifactor en cuentas corporativas.
• Documentar y formalizar procesos de validación de proveedores.

En esa línea, Hunter destaca que cuenta con la certificación ISO/IEC 27001, estándar internacional que acredita la implementación de un Sistema de Gestión de Seguridad de la Información, con controles, auditorías y procesos orientados a la protección de datos y la gestión integral de riesgos.

Además, el especialista de Hunter destaca que hoy las amenazas digitales evolucionan con rapidez, por lo que fortalecer la prevención protege recursos económicos, la confianza y la continuidad operativa de las organizaciones. “Apostar por estándares internacionales y por una cultura interna de verificación permanente se consolida, así como un componente estratégico de la seguridad empresarial moderna”, finalizó.