Por qué el correo empresarial es el blanco favorito de los fraudes en México
por Pedro Galván, Ingeniero
El fraude más común que afecta a PyMEs en México no requiere hackers con habilidades técnicas avanzadas. Requiere un correo bien escrito y un momento de distracción.
Se llama phishing, y en 2024 fue el vector de entrada en más del 70% de los incidentes de seguridad reportados en empresas latinoamericanas. El correo electrónico es la puerta principal, y en muchas PyMEs esa puerta no tiene cerradura.
Cómo funciona un ataque típico
El escenario más frecuente que vemos en empresas de la región es este:
Alguien del área de administración recibe un correo que parece venir de un proveedor conocido. El remitente dice ser "Facturación - Proveedor X". El correo avisa que la cuenta bancaria cambió y pide actualizar los datos para el próximo pago.
El correo tiene logo, firma, y un tono profesional. La dirección del remitente es casi idéntica a la real: en lugar de [email protected] dice [email protected] o [email protected].
Si alguien actualiza esos datos y procesa el siguiente pago, el dinero va a una cuenta del atacante. Para cuando se detecta, la transferencia ya no se puede revertir.
Por qué el correo es tan vulnerable
Las direcciones se falsifican fácil. Sin configuración técnica adecuada, cualquiera puede enviar un correo que parezca venir de tu dominio o del de un proveedor. Los protocolos SPF, DKIM y DMARC existen para evitar esto, pero la mayoría de las PyMEs no los tienen configurados correctamente.
El volumen hace difícil estar alerta. Una persona que procesa treinta correos al día no puede analizar cada remitente con cuidado. Los atacantes lo saben y envían en volumen, esperando que uno pase.
No hay verificación de segundo canal. Cuando llega una instrucción inusual por correo (cambio de cuenta, pago urgente, acceso a sistema), pocas empresas tienen el hábito de confirmarla por teléfono o mensaje directo antes de actuar.
Los tres ataques más comunes en PyMEs mexicanas
BEC (Business Email Compromise): El atacante suplanta a un directivo o proveedor para solicitar transferencias o cambios de datos bancarios. Es el más costoso.
Phishing de credenciales: Un correo pide que "verifiques tu cuenta" o "actualices tu contraseña" con un link a una página falsa idéntica a Microsoft 365, Google o el banco. El usuario ingresa sus datos y el atacante los captura.
Malware por adjunto: Un archivo PDF o Excel adjunto contiene código malicioso. Al abrirlo, instala software que puede registrar contraseñas o cifrar los archivos del equipo (ransomware).
Qué puedes hacer hoy
Configura SPF, DKIM y DMARC en tu dominio. Estos tres registros DNS indican qué servidores están autorizados para enviar correo desde tu dominio y qué hacer cuando llega uno no autorizado. Sin ellos, cualquiera puede suplantar tu dirección.
Activa filtros anti-phishing en tu plataforma de correo. Google Workspace y Microsoft 365 tienen configuraciones avanzadas de protección que no vienen activas por default. Activarlas toma menos de una hora y detiene la mayoría de los ataques automatizados.
Establece una regla para instrucciones financieras por correo. Ningún cambio de cuenta bancaria ni pago urgente se procesa sin confirmación por un segundo canal. Sin excepción. Esta regla sola evita la mayoría de los fraudes BEC.
Capacita a tu equipo con un ejemplo real. No un curso de hora y media. Un correo de ejemplo con las señales de alerta marcadas, enviado a todo el equipo, seguido de una conversación de quince minutos. La conciencia práctica tiene más impacto que la teoría.
Cuándo es momento de hacer una revisión formal
Si no sabes cómo están configurados SPF, DKIM y DMARC en tu dominio, o si nunca has revisado las configuraciones de seguridad de tu plataforma de correo, hay un riesgo real que vale la pena cerrar.
En MonsaTech hacemos revisiones de configuración de correo como proyecto cerrado: auditamos, configuramos y entregamos con documentación. Sin contrato mensual obligatorio.