- El riesgo principal del BEC no es recibir un correo fraudulento, sino que ese correo altere el proceso de pago y acabe en una transferencia que luego puede ser difícil de revertir.
- Los controles que más reducen el riesgo suelen ser de proceso: doble validación, verificación fuera de banda para cambios sensibles y gestión formal de urgencias.
- La tecnología ayuda, pero no sustituye al proceso de negocio: autenticación multifactor (MFA), revisión de reglas de correo y protección de cuentas críticas reducen la exposición, aunque no eliminan el riesgo.
Cláusulas de ciberseguridad en contratos con proveedores (SaaS/outsourcing): qué pedir y cómo priorizar
Un contrato con un proveedor no debe limitarse a trasladar obligaciones legales: debe funcionar como un control operativo que define cómo se previenen, detectan, escalan y resuelven incidentes reales.