Suplantación del CEO: un ciberfraude que va a más en las empresas

Conceptos de Mensajería, Mensajería

VALORACIÓN DEL ARTÍCULO:

 5/5

Una factura falsa, un correo urgente y un remitente que parece ser el líder de una compañía. Así comienza una suplantación del CEO, uno de los ciberataques más sofisticados y efectivos que afectan actualmente a empresas de todo el mundo. Las hackers pueden acceder por diferentes vías con este tipo de ciberfraude, pero la ventana más común es el correo electrónico, así que mucho ojo en los negocios a todo mail que llegue a nombre del jefe.

Técnicamente, los expertos en ciberseguridad denominan a esta amenaza como Business Email Compromise (BEC), o compromiso del correo electrónico empresarial. Detrás de estos fraudes, hay ciberdelincuentes que no solo dominan la tecnología, sino también la psicología organizativa.

El último informe de la compañía de ciberseguridad Kaspersky lo confirma: se han detectado nuevos ataques de suplantación del CEO que simulan conversaciones internas entre ejecutivos y proveedores para engañar a los departamentos financieros. La metodología es tan precisa que muchos empleados caen en la trampa antes de que alguien pueda activar las alarmas.

Índice de contenidos

La estafa de suplantación del CEO empieza en la bandeja de entrada

Los correos detectados por Kaspersky tenían un objetivo común: convencer al equipo financiero de realizar transferencias a favor de empresas ficticias. ¿La clave? Reproducir con todo detalle el tono, estilo y contexto de una conversación real entre el CEO y un proveedor habitual. En la investigación realizada sobre estos timos de suplantación del CEO se ha comprobado que incluso se crearon hilos de correo que simulaban interacciones previas, con archivos adjuntos que imitaban facturas auténticas.

Lo más alarmante en esta suplantación del CEO es que, en todos los casos, las direcciones de correo no pertenecían a los dominios corporativos legítimos. El engaño se producía visualmente: el nombre del remitente coincidía con el del CEO o el proveedor, pero la dirección real era falsa y variaba en cada envío. Este truco —que se aprovecha de que muchos empleados solo leen el nombre visible— es una de las técnicas más habituales en los ataques de BEC.

“El éxito de estos ataques de suplantación del CEO se basa en la confianza. Si el nombre que aparece es el del CEO, y el contenido es creíble, es fácil que nadie se plantee una verificación”, explica Anna Lazaricheva, analista de spam en Kaspersky.

La suplantación del CEO es una amenaza creciente en España

Lejos de tratarse de un caso aislado, el fraude de suplantación del CEO está en auge. Según datos del Instituto Nacional de Ciberseguridad (INCIBE), más de 21.500 incidentes de phishing por correo electrónico fueron gestionados en 2024 solo en España, y el fraude por correo ya supera los 38.000 casos anuales reportados oficialmente.

Los ataques de BEC y su modalidad más específica —conocida como whaling cuando el objetivo es el CEO o directivos de alto nivel— se han convertido en una de las principales preocupaciones de las áreas financieras y de recursos humanos. Los criminales no solo imitan identidades, sino que también estudian los hábitos de comunicación interna de las compañías para personalizar sus mensajes.

capturas de Kaspersky sobre estafas de suplantación del CEO — Capturas de Kaspersky sobre un caso de estafa de suplantación del CEO.

¿Por qué funcionan los ataques de suplantación del CEO?

La respuesta está en la ingeniería social. Los atacantes no necesitan vulnerar un sistema informático para lograr su objetivo. Basta con manipular a una persona con acceso a las cuentas bancarias o al sistema de pagos. Para lograrlo, se apoyan en tres factores:

Urgencia: los mensajes suelen indicar que el pago debe hacerse “cuanto antes”, lo que reduce el tiempo para comprobar su legitimidad.
Autoridad: en la suplantación del CEO o un alto ejecutivo, los atacantes se aseguran de que la orden sea difícil de cuestionar.
Rutina: los fraudes se camuflan en procesos comunes, como el pago de proveedores, de modo que no despierten sospechas.

“Este tipo de ataque destaca por su meticulosa atención al detalle y por explotar relaciones de confianza dentro de la organización. Muchas veces, ni siquiera es necesario incluir un enlace malicioso: basta con la palabra adecuada en el momento adecuado”, destaca Lazaricheva.

Cómo protegerse de la estafa de la suplantación del CEO: recomendaciones clave

Los expertos coinciden en que la prevención no depende solo de herramientas tecnológicas, sino de una cultura corporativa de seguridad digital. Kaspersky propone varias medidas esenciales para minimizar el riesgo:

Verifica la dirección de correo real del remitente, no solo el nombre que aparece en pantalla.
Sospecha de cualquier solicitud urgente de pago, especialmente si incluye cambios en las cuentas bancarias habituales.
Utiliza canales alternativos de verificación, como una llamada telefónica directa, si el contenido del mensaje resulta inusual.
Examina las URL con detenimiento, buscando errores sutiles como letras cambiadas o dominios falsificados.
Implementa soluciones de ciberseguridad avanzadas que incluyan filtros antiphishing, protección contra BEC y análisis de comportamiento.

Además, es fundamental formar al personal administrativo y financiero para que conozca estos riesgos y aprenda a detectarlos. Un buen simulacro de ataque puede ser tan valioso como un software actualizado.

TAMBIÉN TE INTERESA

Conoce los 7 nuevos Chromebook Acer, uno de ellos es una tableta desmontable

Nuevos Chromebook Acer llegan al mercado. La diferencia es que ahora estos pequeños grandes portátiles están dominados por la inteligencia artificial, lo cual les hace tener un punto más de interés además de la movilidad. Así que Acer, ahora en rebajas de verano hasta el 1 de agosto, sube el listón en este segmento de

El Galaxy Z Fold7 apunta a ser el plegable del año

La moda de los teléfonos plegables no ha terminado, ni mucho menos. Tras el Flip7, Samsung lo ha vuelto a hacer. La compañía surcoreana presenta el nuevo Galaxy Z Fold7, su dispositivo plegable más delgado, potente e inteligente hasta la fecha, diseñado para quienes buscan lo último en tecnología móvil sin renunciar a la versatilidad.

Galaxy Z Flip7: el nuevo plegable tipo concha de Samsung que fusiona IA y un diseño ultracompacto

Una nueva versión del móvil colorete de Samsung entra en escena. Hablamos del Galaxy Z Flip7, su nuevo teléfono plegable (que es como llevar un colorete en el bolso / bolsillo). Como no podía ser de otro modo el terminal incorpora funciones avanzadas de inteligencia artificial (IA), pero hay más detalles que destacan de lo

Aprovecha la venta flash Huawei con descuentos de hasta el 50%

Días calientes para las compras de tecnología. Además del Amazon Prime Day 2025, también destacan las venta flash Huawei. La firma ha diseñado la que será la mayor campaña de ofertas del año desde el 8 al 31 de julio, con descuentos de hasta un 50% en una amplia gama de productos, y venta flash cada

Va a haber muchos intentos de estafas Amazon Prime Day: así que hay que andar con pies de plomo

Se viene uno de los días más calientes del año en Amazon, pero no por ello hay que ir a ciegas y comprarlo todo. No solo por una cuestión de economía, sino también por seguridad, ya que las estafas Amazon Prime Day siempre han estado a la orden del día. Y este 8 de julio

La plataforma de viajes KAYAK implementa un programa piloto de IA de la mano de OpenAI: la planificación de tu escapada con una conversación

KAYAK, uno de los buscadores de vuelos y hoteles más utilizados, acaba de lanzar KAYAK.ai, una herramienta pionera que une la IA generativa de OpenAI con el motor de búsqueda de viajes más potente del mercado, integrando información en tiempo real de más de 400 proveedores. Este nuevo asistente digital propone una experiencia radicalmente distinta