El Informe de Panorama de Ataques 2026 de Abnormal AI, publicado en abril, analizó cerca de 800.000 ataques por correo electrónico en más de 4.600 organizaciones durante el segundo semestre de 2025. Un hallazgo en particular merece atención: el 61% de todos los incidentes de compromiso de correo electrónico empresarial (BEC) en ese conjunto de datos estaban relacionados con proveedores. La mayoría del BEC ya no consiste en suplantar a un director ejecutivo. Consiste en suplantar a un proveedor.
Ese cambio tiene consecuencias directas sobre cómo las organizaciones piensan en la autenticación del correo electrónico, y sobre lo que el DMARC puede y no puede hacer.
Qué es realmente el compromiso de correo electrónico de proveedor
El compromiso de correo electrónico empresarial (BEC) se entiende típicamente como un atacante que suplanta a un alto ejecutivo para redirigir fondos o extraer información sensible. Ese enfoque era preciso para los ataques que dominaron el BEC hace una década. Ya no es el patrón predominante.
El Vendor Email Compromise (VEC), o compromiso de correo electrónico de proveedor, tiene como objetivo las relaciones con proveedores y socios de las que dependen las organizaciones para procesar pagos, emitir facturas y gestionar cuentas. Existen dos variantes principales.
En la primera, un atacante compromete una cuenta de correo electrónico legítima en un proveedor – mediante phishing de credenciales, reutilización de contraseñas o toma de control de cuentas – y usa esa cuenta para enviar instrucciones de pago fraudulentas a los clientes del proveedor. El correo llega desde el dominio real del proveedor, utilizando la infraestructura real de correo del proveedor. Supera todos los controles de autenticación porque es, técnicamente, un correo electrónico legítimo. El DMARC no puede detenerlo.
En la segunda variante, el atacante no compromete la cuenta del proveedor directamente. En cambio, registra un dominio muy similar – lo suficientemente parecido para engañar a un lector que lee deprisa – y suplanta o imita la correspondencia del proveedor. Esta variante puede abordarse mediante autenticación si el proveedor aplica DMARC en el dominio suplantado, o si las herramientas de seguridad de la organización receptora marcan los dominios similares.
El informe de Abnormal AI encontró que la primera variante – el compromiso real de cuenta que lleva al VEC – representa ahora la mayoría de los ataques VEC. Los atacantes han aprendido que comprometer una cuenta de proveedor proporciona mejores resultados que registrar un dominio similar, en parte porque el correo autenticado de un remitente de confianza elude la mayoría de los sistemas de detección.
La trampa de la actualización de cuenta de facturación
El señuelo de VEC más consistentemente eficaz, según los datos de Abnormal AI, es la solicitud de actualización de cuenta de facturación. Son correos que parecen provenir de un proveedor al que ya se le está pagando, notificando un cambio en los datos bancarios, números de enrutamiento o destino de pago.
El informe de Abnormal AI encontró una tasa de compromiso del 26,5% en las solicitudes de actualización de cuenta de facturación. Esa cifra representa la proporción de destinatarios que toman la acción solicitada – en este caso, actualizar los datos de pago a una cuenta fraudulenta – antes de que se detecte el fraude. Para comparar, la tasa de clics promedio del sector de phishing en todos los tipos de ataques se sitúa por debajo del 5%.
La razón por la que la tasa de compromiso es tan alta es la misma por la que el VEC es difícil de detectar: el correo encaja en un flujo de trabajo legítimo. Los equipos financieros reciben notificaciones genuinas de actualización de cuentas de proveedores. El correo puede hacer referencia a números de factura reales, nombres de contacto reales y relaciones de cuenta reales. El único elemento fraudulento es el nuevo destino de pago. Para cuando se detecta el pago mal dirigido, generalmente ya ha sido retirado.
Qué aborda el DMARC y qué no
DMARC – autenticación, informes y conformidad de mensajes basados en dominios – autentica que un correo electrónico que dice provenir de un dominio fue efectivamente enviado por la infraestructura autorizada para enviar en nombre de ese dominio. Un registro DMARC con p=reject indica a los servidores de correo receptores que bloqueen los mensajes que no superen esta prueba.
Esa aplicación es muy eficaz para detener una clase importante de BEC: la suplantación de dominio. Si su dominio aparece en un correo de phishing dirigido a otra persona, su política p=reject significa que ese correo será rechazado por el servidor de correo del destinatario – siempre que ese servidor aplique DMARC, y la mayoría de los principales proveedores ahora lo hacen.
Lo que DMARC no puede abordar es un proveedor cuya cuenta de correo electrónico legítima ha sido comprometida. Si un atacante está enviando desde dentro de la infraestructura del proveedor usando una cuenta real, el correo supera las verificaciones de SPF, DKIM y DMARC en el dominio del proveedor. La autenticación responde a la pregunta de si la infraestructura de envío está autorizada para el dominio remitente. No responde si el humano que envió el correo es quien dice ser.
Esto significa que DMARC en su propio dominio protege su identidad de ser suplantada. No le protege de ser estafado por una cuenta de proveedor comprometida. Los dos problemas requieren soluciones diferentes.
Lo que el DMARC sigue proporcionando
Nada de esto hace que la aplicación de DMARC sea menos importante. Cambia dónde encaja DMARC en el modelo de defensa.
La aplicación de DMARC con p=reject en su propio dominio elimina la posibilidad de que su dominio se utilice para enviar ataques de phishing o BEC contra otros – incluidos sus proveedores, sus clientes y sus empleados. Si un atacante intenta suplantar su dominio para hacerse pasar por usted en un ataque VEC dirigido a su proveedor, su política p=reject garantiza que esos correos sean rechazados.
Los informes agregados de DMARC (rua=) proporcionan visibilidad continua de cada fuente que envía correo que afirma ser de su dominio. Eso incluye fuentes autorizadas – su ESP, su CRM, su sistema de correo transaccional – y fuentes no autorizadas. Si alguien está usando su dominio en un ataque, los informes agregados lo revelarán, normalmente en 24 horas.
DMARC también dificulta la escalada de ataques de phishing de credenciales contra sus empleados. Los atacantes que despliegan phishing para obtener acceso inicial a cuentas de proveedores frecuentemente utilizan dominios suplantados de los propios proveedores del objetivo. Si esos dominios de proveedores aplican DMARC, los correos de phishing suplantados son rechazados. Una mejor autenticación en toda la cadena de suministro reduce el conjunto de cuentas comprometidas disponibles para VEC.
El modelo de defensa que requiere el VEC
Detener el compromiso de correo electrónico de proveedor requiere un enfoque por capas que va más allá de la autenticación.
La autenticación es la base. Aplique DMARC con p=reject en su propio dominio. Verifique que sus proveedores críticos han hecho lo mismo. La aplicación de DMARC en toda la cadena de suministro reduce la variante de dominio similar del VEC y restringe el conjunto de cuentas que pueden ser objeto de phishing para acceso inicial.
La verificación de procesos es el control. Ninguna instrucción de pago que llegue por correo electrónico debe cambiar los datos de cuenta bancaria sin verificación independiente a través de un segundo canal – una llamada telefónica a un número que usted tiene registrado, no al proporcionado en el correo. Los equipos de operaciones financieras necesitan políticas claras que exijan confirmación fuera de banda para cualquier cambio de destino de pago.
La detección de comportamiento identifica anomalías. El informe de Abnormal AI argumenta que la detección de VEC requiere cada vez más IA de comportamiento: sistemas que modelan los patrones normales de comunicación de proveedores y marcan las desviaciones. Un correo de un proveedor con el que ha trabajado durante tres años que de repente le instruye a actualizar el enrutamiento de pagos a una cuenta en una nueva jurisdicción es anómalo. Los filtros basados en contenido entrenados en indicadores maliciosos lo pasan por alto. Los sistemas de comportamiento ajustados a los patrones de comunicación pueden detectarlo.
Los informes agregados amplían su visibilidad. Si recibe informes agregados de DMARC y los revisa regularmente, sabrá cuándo el tráfico que dice originarse desde su dominio está fallando la autenticación – lo que puede indicar que un atacante está apuntando a sus proveedores suplantando su dominio. Esa visibilidad puede ayudarle a alertar a los proveedores sobre correos fraudulentos antes de que sean víctimas.
La cadena de suministro es la superficie de ataque
El hallazgo central del informe de Abnormal AI no es que una táctica particular se haya vuelto más común. Es que la superficie de ataque ha cambiado. Durante la mayor parte de la historia del BEC, el objetivo de la suplantación era la propia organización de la víctima – el CFO, el CEO, el servicio de soporte de TI. Los atacantes ahora han aprendido que la cadena de suministro proporciona una superficie de ataque más escalable, porque las relaciones con proveedores son de confianza, los flujos de pago son rutinarios y las notificaciones de actualización de cuentas de proveedores son esperadas.
Ese cambio no disminuye la importancia de proteger su propio dominio. Añade un argumento para tratar también los dominios de sus proveedores críticos como parte de su postura de seguridad.
Excello Mail le proporciona visibilidad completa de su estado de autenticación, análisis de informes agregados y orientación para alcanzar la aplicación de p=reject – de modo que cuando los atacantes de VEC intenten suplantar su dominio para llegar a sus proveedores o clientes, la infraestructura ya esté en lugar para detenerlos. Regístrese gratis en Excello Mail y asegure su extremo de la cadena de suministro.