Puntos clave

  • El pago de un cliente a Callnovo fue rechazado porque los datos bancarios habían sido modificados — por un correo fraudulento idéntico al nuestro. El correo parecía provenir de nuestro departamento de cuentas por cobrar, incluía en copia a todas las personas relevantes y solicitaba una actualización rutinaria de cuenta bancaria.
  • Nuestra investigación inmediata no encontró ninguna evidencia de una brecha en nuestros sistemas — MFA estaba activado, los registros de correos enviados estaban limpios y no se detectó ningún acceso no autorizado. El compromiso fue rastreado hasta el entorno del cliente.
  • Reportamos la cuenta bancaria fraudulenta (Truist, abierta en Atlanta) llamando al banco y visitando físicamente una sucursal. Cuando hay fraude financiero de por medio, reportar solo por medios digitales no es suficiente.
  • Ahora exigimos verificación por videollamada para todos los cambios de cuenta bancaria — sin excepciones. Este único cambio de política elimina por completo el vector de ataque. Recomendamos que toda empresa que trabaje con proveedores internacionales adopte la misma práctica.

Nota de privacidad: Para proteger la confidencialidad del cliente, se han eliminado los detalles identificativos.

El correo que casi funciona

El mes pasado, un cliente de larga trayectoria intentó enviarnos su pago mensual por servicios. Falló. El banco rechazó la transferencia porque los datos de la cuenta no coincidían.

Cuando nos contactaron para resolverlo, nos reenviaron un correo que habían recibido — uno que había sido compartido internamente por uno de sus propios empleados. El correo original parecía provenir de nuestro departamento de cuentas por cobrar. Solicitaba un cambio en nuestros datos bancarios para futuros pagos. El correo tenía un formato profesional, usaba la terminología correcta e incluía en copia a todas las personas relevantes de ambos lados.

A primera vista, parecía completamente legítimo. Incluso para nosotros.

El correo fraudulento — enviado desde una dirección @callnovo.ca falsificada con el asunto "Update Regarding Bank". Solicitaba un cambio a datos bancarios de Truist e incluía en copia a todas las partes relevantes. La información sensible ha sido redactada.

El correo fraudulento real que recibió nuestro cliente. Nombres, números de cuenta y otros datos identificativos han sido redactados.

Los nuevos datos bancarios apuntaban a una cuenta en Truist abierta en Atlanta. No trabajamos con Truist. No tenemos ninguna cuenta en Atlanta. Alguien había creado una cuenta bancaria fraudulenta y nos había suplantado para redirigir el pago de nuestro cliente hacia ella.

¿Qué es BEC?: Business Email Compromise (BEC) es una forma de cibercrimen dirigido en la que los atacantes suplantan a una parte de confianza — generalmente por correo electrónico — para manipular transacciones financieras. El Internet Crime Complaint Center del FBI reportó 2.900 millones de dólares en pérdidas por BEC solo en 2023, lo que lo convierte en la forma de cibercrimen más costosa. A diferencia del phishing que lanza una red amplia, el BEC es quirúrgico: apunta a personas específicas, hace referencia a relaciones comerciales reales y explota la confianza establecida.

Las primeras 24 horas: “¿Nos hackearon?”

Cuando vimos ese correo, la primera pregunta fue la obvia: ¿habían comprometido nuestro sistema de correo electrónico?

Esto es lo que hicimos en las primeras horas:

1

Auditoría del sistema de correo

Revisamos todos los registros de correos enviados desde nuestra dirección de cuentas por cobrar. No había ningún registro de que el correo fraudulento se hubiera enviado desde nuestros sistemas. Cero.
2

Verificación de MFA

Confirmamos que la autenticación multifactor estaba activa en todas las cuentas de correo, incluida la de cuentas por cobrar. No se detectaron intentos de eludir el MFA.
3

Revisión de registros de acceso

Revisamos el historial de inicio de sesión de todas las cuentas de correo en busca de direcciones IP, dispositivos o ubicaciones geográficas inusuales. Nada anormal.
4

Reporte al banco

Llamamos al banco (Truist) para reportar la cuenta fraudulenta. Luego fuimos físicamente a una sucursal para presentar un reporte formal de fraude en persona.

La auditoría de correo fue la pieza crítica. Si ese correo fraudulento realmente se hubiera enviado desde nuestros servidores, estaríamos ante una brecha de seguridad — y eso significaría respuesta a incidentes, notificaciones a clientes, todo el protocolo. Pero nuestros registros estaban limpios. El correo no se envió desde nosotros. Fue fabricado para que pareciera enviado desde nosotros.

Lo que realmente pasó

Después de que nuestro cliente hizo su propia investigación interna, el panorama se aclaró. El compromiso se originó fuera de nuestros sistemas. El atacante tenía suficiente contexto sobre nuestra relación comercial — nombres, roles, frecuencia de pagos, formato de correos — para construir una suplantación convincente.

Esta es la anatomía de un ataque BEC:

1. Reconocimiento. El atacante identificó una relación real entre proveedor y cliente (nosotros y nuestro cliente) y recopiló suficientes detalles para que la suplantación fuera creíble — nombres, cargos, formatos de correo, el hecho de que se realizaban pagos regulares.

2. Suplantación. Elaboraron un correo que imitaba el estilo de comunicación de nuestro departamento de cuentas por cobrar. La estructura del dominio correcta, la lista de copia correcta, el tono correcto. El tipo de correo que, en un departamento de cuentas por pagar ocupado procesando docenas de facturas, no levanta sospechas.

3. La solicitud. Un pedido simple y de apariencia rutinaria: “Hemos actualizado nuestros datos bancarios. Por favor utiliza la siguiente cuenta para futuros pagos.” Sin urgencia. Sin presión. Solo una actualización con tono de formalidad — que es exactamente lo que lo hace peligroso.

4. La redirección. La nueva cuenta era una cuenta de Truist abierta en Atlanta. Un banco que parece legítimo, una ubicación que parece legítima. Nada en ello gritaba “fraude” a primera vista.

¿La única razón por la que falló? El pago fue rechazado por el banco receptor debido a una discrepancia en los datos de la cuenta. Si esos datos hubieran coincidido — si el atacante hubiera sido un poco más cuidadoso — el pago se habría completado.

Por qué funciona el BEC: El BEC no depende de malware, enlaces de phishing ni exploits técnicos. Explota la confianza humana y las brechas en los procesos empresariales. Los correos son gramaticalmente correctos, contextualmente precisos y operativamente plausibles. Funcionan porque los departamentos de cuentas por pagar procesan cambios de datos bancarios de forma rutinaria — y la mayoría de las empresas no tienen un protocolo de verificación más allá de “¿este correo parece legítimo?”

Lo que hicimos con la cuenta fraudulenta

Reportar solo por medios digitales no es suficiente cuando hay fraude financiero involucrado. Esto es lo que hicimos:

Llamamos directamente al departamento de fraude de Truist. Reportamos el número de cuenta, explicamos el intento de BEC y solicitamos que la cuenta fuera marcada para investigación.

Visitamos físicamente una sucursal bancaria. Entramos a una sucursal y presentamos un reporte formal de fraude con un ejecutivo bancario en persona. Esto crea un registro documental más difícil de ignorar que un formulario en línea. Cuando alguien está sentado frente a ti explicando que se abrió una cuenta fraudulenta en su institución, recibe atención.

Documentamos todo. Cronología completa, encabezados de correo, datos de la cuenta, comunicaciones con nuestro cliente — todo preservado para una posible intervención de las autoridades.

El cambio de política: verificación por video para todos los cambios de cuenta bancaria

Este incidente expuso una brecha que existe en casi toda relación B2B: no existe un protocolo estándar de verificación para cambios de cuenta bancaria.

Piénsalo. Una empresa te envía un correo diciendo “aquí están nuestros nuevos datos bancarios”. ¿Qué haces? La mayoría de las empresas verifica si el correo parece legítimo, tal vez llama a un número de teléfono que aparece en el correo (que el atacante controla) y procesa el cambio. Eso es todo.

Ahora hemos implementado una regla simple e inquebrantable:

Todos los cambios en datos de cuenta bancaria — los nuestros o los de nuestros clientes — deben verificarse mediante una videollamada en vivo con un contacto conocido en la otra empresa.

No por correo electrónico. No por teléfono (los números de teléfono se pueden falsificar). Una videollamada en vivo donde puedes ver a la persona con la que has estado trabajando, confirmar su identidad y verificar verbalmente el cambio bancario.

$2.9B Pérdidas por BEC reportadas al FBI en 2023
#1 Categoría de cibercrimen más costosa
0 Ataques BEC que sobreviven a la verificación por video

Esta no es una solución de alta tecnología. Es una solución humana. Y esa es precisamente la razón por la que funciona contra un ataque que explota la confianza humana. Puedes falsificar un correo electrónico. Puedes falsificar un número de teléfono. No puedes falsificar una videollamada en vivo con alguien que tu equipo ya conoce.

Ahora recordamos de forma proactiva esta política a cada cliente al inicio de cada contrato y durante las revisiones trimestrales de negocio. Si recibes cualquier comunicación solicitando un cambio en nuestros datos bancarios, no la proceses hasta que la hayas verificado en una videollamada con tu gerente de cuenta de Callnovo.

Implementa esto hoy: Si tu empresa envía o recibe pagos por transferencia bancaria — especialmente a nivel internacional — implementa la verificación por video para todos los cambios bancarios de inmediato. No cuesta nada. Toma cinco minutos. Y elimina el vector de ataque de cibercrimen más rentable que existe. No se requiere comprar ninguna tecnología.

Lecciones para toda empresa que trabaje con proveedores internacionales

Este incidente reforzó varios principios que aplican a cualquier empresa que gestione pagos B2B:

1. Nunca proceses un cambio de cuenta bancaria basándote únicamente en un correo electrónico. Sin importar lo legítimo que parezca. Sin importar a quién tenga en copia. Sin importar lo rutinaria que suene la solicitud. Verifica siempre a través de un canal separado y autenticado — idealmente por video.

2. “Tenemos MFA” es necesario pero no suficiente. Nuestro MFA estaba activo y funcionando. Protegió nuestros sistemas. Pero el BEC no necesita vulnerar tus sistemas — solo necesita suplantarlos de manera convincente. El MFA protege contra la toma de cuentas. No protege contra la suplantación de identidad.

3. Reporta el fraude en persona, no solo digitalmente. Cuando entramos a una sucursal bancaria para reportar la cuenta fraudulenta, la respuesta fue muy distinta a la que habíamos recibido por teléfono. El reporte en persona genera responsabilidad y urgencia que los formularios digitales no logran.

4. La seguridad de tu proveedor es tan fuerte como la tuya propia. Teníamos sistemas limpios, MFA, seguridad de endpoints (Bitdefender en más de 2.500 dispositivos) y registros de acceso auditados. El ataque casi funciona porque el punto de entrada estaba fuera de nuestro perímetro. La seguridad de la cadena de suministro es una responsabilidad compartida.

5. Asume que toda comunicación financiera “rutinaria” es un potencial ataque. Los correos BEC más peligrosos son los que no transmiten urgencia. Se sienten normales. Esa normalidad es el arma.

La verdadera lección: Lo más aterrador de este incidente no fue la sofisticación del ataque. Fue lo común que parecía. Un correo rutinario de actualización de cuenta bancaria, con las personas correctas en copia, con el formato correcto. La única defensa contra un fraude que “parece normal” es un proceso de verificación que exista completamente fuera del canal de correo electrónico.

Mirando hacia adelante

Compartimos esta historia porque la transparencia sobre incidentes de seguridad — incluso los que se detectaron antes de causar daño — hace que todo el ecosistema sea más seguro. Cada empresa que lea esto e implemente la verificación por video para cambios bancarios es una víctima potencial menos.

Si eres cliente actual de Callnovo: ya has sido informado sobre nuestra política de verificación por video. Si alguna vez recibes un correo solicitando un cambio en nuestros datos bancarios, no actúes sobre él. Llama a tu gerente de cuenta. Inicia una videollamada. Verifica.

Si estás evaluando socios BPO: pregúntales qué sucede cuando alguien envía un correo solicitando un cambio de datos bancarios. Si la respuesta es cualquier cosa diferente a “verificamos a través de un canal autenticado independiente”, sigue buscando.

La seguridad no se trata solo de la tecnología que implementas. Se trata de los procesos que construyes alrededor de ella.

Manny Xu
Escrito por Manny Xu Manny es el CTO de Callnovo, liderando el desarrollo de tecnología de interacción con clientes impulsada por IA, incluyendo HeroVoice, HeroChat y la plataforma de análisis HeroDash. Aporta 18 años de experiencia en software empresarial y sistemas de IA/ML. 18+ años en software empresarial, especialista en IA/ML