El peor tipo de estafa de phishing es el que no se puede ignorar simplemente: como el fraude del CEO. Correos electrónicos supuestamente del gobierno, diciéndole que haga ese pago pendiente relacionado con los impuestos o que se arriesgue a una acción legal. Correos electrónicos que parecen enviados por su escuela o universidad, en los que se le pide que pague esa matrícula que no ha pagado. O incluso un mensaje de tu jefe o director general, diciéndote que les transfieras dinero "como un favor".
Puntos clave
- El fraude a los directores ejecutivos es una amenaza importante que puede suponer la pérdida de millones de dólares cada año debido a correos electrónicos de phishing convincentes.
- Educar a los empleados sobre las tácticas de phishing y las señales de advertencia es crucial para prevenir los ataques fraudulentos a los CEO.
- Los protocolos de autenticación de correo electrónico como DMARC pueden ayudar a bloquear correos electrónicos no autorizados antes de que lleguen a su bandeja de entrada.
- Solicite siempre la aprobación explícita a través de canales alternativos antes de procesar cualquier transferencia bancaria solicitada por correo electrónico.
- Supervisar y marcar los correos electrónicos procedentes de nombres de dominio similares puede reducir el riesgo de ser víctima de intentos de phishing.
¿Qué es el fraude de los directores generales?
El ataque de fraude al director general es una estafa de phishing por correo electrónico en la que los estafadores se hacen pasar por el director general de una empresa en un intento de convencer a los empleados de que les envíen dinero. Los correos electrónicos suelen incluir el nombre real y el título comercial del CEO de la empresa.
El problema de este tipo de correos electrónicos es que se hacen pasar por una figura de autoridad, ya sea el gobierno, la junta directiva de tu universidad o tu jefe en el trabajo. Se trata de personas importantes, e ignorar sus mensajes tendrá casi seguro graves consecuencias. Así que te ves obligado a mirarlos, y si parecen lo suficientemente convincentes, puede que te los creas.
¡Protéjase contra el fraude de los directores generales con PowerDMARC!
Usted no es inmune al fraude de los directores generales
Una estafa de 2.300 millones de dólares al año es lo que es. Quizá se pregunte: "¿Qué puede hacer que las empresas pierdan tanto dinero por una simple estafa por correo electrónico?". Pero se sorprendería de lo convincentes que pueden ser los correos electrónicos de fraude de los directores generales.
En 2016, Mattel estuvo a punto de perder 3 millones de dólares por un ataque de phishing cuando una ejecutiva de finanzas recibió un correo electrónico del director general en el que se le pedía que enviara un pago a uno de sus proveedores en China. Pero solo después de comprobarlo con el director general se dio cuenta de que nunca había enviado el correo electrónico. Afortunadamente, la empresa colaboró con las fuerzas de seguridad de China y Estados Unidos para recuperar su dinero unos días después, pero eso casi nunca ocurre con estos ataques.
La gente tiende a creer que estas estafas no les van a pasar... hasta que les pasan a ellos. Y ese es su mayor error: no prepararse para el fraude del CEO.
Las estafas de phishing no sólo pueden costar millones de dólares a su organización, sino que pueden tener un impacto duradero en la reputación y credibilidad de su marca. Esto es especialmente cierto en sectores como el jurídico, en el que la confianza y la visibilidad en línea van de la mano, y en el que unas buenas prácticas de SEO jurídico pueden influir de forma decisiva en la forma en que los clientes potenciales encuentran y juzgan a su empresa. Corre el riesgo de que le vean como la empresa que perdió dinero por una estafa de correo electrónico y de perder la confianza de sus clientes, cuya información personal confidencial almacena.
En lugar de luchar para controlar los daños después del hecho, tiene mucho más sentido asegurar sus canales de correo electrónico contra las estafas de phishing selectivo como ésta. Estas son algunas de las mejores maneras de asegurar que su organización no se convierta en una estadística en el informe del FBI sobre BEC.
Cómo prevenir el fraude de los directores generales: 6 sencillos pasos
- Forma a tu personal en materia de seguridad
Esto es absolutamente fundamental. Los miembros de tu plantilla —y especialmente los del departamento financiero— deben comprender cómo funciona el «Business Email Compromise». Y no nos referimos simplemente a una aburrida presentación de dos horas sobre no anotar la contraseña en un post-it. Debe formarles para que sepan detectar indicios sospechosos de que un correo electrónico es falso, identificar direcciones de correo electrónico falsificadas y reconocer solicitudes anómalas que otros miembros del personal parezcan estar realizando por correo electrónico. - Presta atención a los indicios reveladores de suplantación de identidad
Los estafadores por correo electrónico utilizan todo tipo de tácticas para que accedas a sus peticiones. Estas pueden ir desde solicitudes o instrucciones urgentes para transferir dinero —con el fin de que actúes rápidamente y sin pensarlo— hasta pedirte acceso a información confidencial para un «proyecto secreto» que tus superiores aún no están preparados para compartir contigo. Se trata de señales de alarma muy graves, por lo que debes comprobarlo dos y tres veces antes de tomar cualquier medida. - Protégete con DMARC
La forma más sencilla de evitar un intento de phishing es no recibir siquiera el correo electrónico. DMARC es un protocolo de autenticación de correo electrónico que verifica los mensajes procedentes de tu dominio antes de entregarlos. Cuando aplicas DMARC a tu dominio, cualquier atacante que se haga pasar por alguien de tu propia organización será detectado como remitente no autorizado, y su correo electrónico será bloqueado antes de llegar a tu bandeja de entrada. Así no tendrás que lidiar en absoluto con correos electrónicos falsificados.
Conozca qué es DMARC.
- Solicita autorización explícita para las transferencias bancarias
Esta es una de las formas más sencillas y directas de evitar que el dinero se transfiera a personas equivocadas. Antes de confirmar cualquier transacción, haz que sea obligatorio solicitar la autorización explícita de la persona que solicita el dinero a través de un canal distinto al correo electrónico. Para transferencias bancarias de mayor cuantía, exige una confirmación verbal. Muchas empresas también utilizan tarjetas de crédito aseguradas como alternativa a las transferencias bancarias, lo que ofrece una mayor protección contra el fraude. - Marcar los correos electrónicos con extensiones similares
El FBI recomienda que su organización cree reglas en el sistema para marcar automáticamente los correos electrónicos que utilicen extensiones demasiado similares a las suyas. Por ejemplo, si su empresa utiliza «123-business.com», el sistema podría detectar y marcar los correos electrónicos que utilicen extensiones como «123_business.com». - Adquiere nombres de dominio similares
Los atacantes suelen utilizar nombres de dominio de aspecto similar para enviar correos electrónicos de phishing. Por ejemplo, si el nombre de tu organización contiene una «i» minúscula, podrían utilizar una «I» mayúscula o sustituir la letra «E» por el número «3». Hacerlo te ayudará a reducir las posibilidades de que alguien utilice un nombre de dominio muy similar para enviarte correos electrónicos.
- ¿Qué es la generación de informes TLS? Cómo detectan los informes TLS de SMTP los fallos en la entrega de correos electrónicos - 9 de julio de 2026
- Los mejores servidores MCP de DMARC en 2026: conecta la IA a tus datos de autenticación de correo electrónico - 9 de julio de 2026
- Caso práctico de DMARC para MSP: The Great Geek amplía sus servicios de seguridad de correo electrónico para pymes con PowerDMARC - 25 de junio de 2026

