La importancia del 2FA: cómo un ataque “man in the middle” permitió interceptar un correo y modificar una factura

En el ámbito del peritaje informático, cada vez es más frecuente encontrarse con incidentes donde el correo electrónico es el punto de entrada del ataque. Uno de los casos más habituales —y peligrosos— es la interceptación de correos con facturas para modificar datos críticos, como el número de cuenta bancaria.

En este artículo analizamos un caso real en el que un cliente con correo alojado en IONOS sufrió un ataque de tipo man in the middle, con consecuencias económicas directas. Y, sobre todo, veremos cómo algo tan sencillo como activar el 2FA habría cambiado completamente el escenario.

El caso: interceptación de correo y manipulación de factura

El cliente detectó un problema cuando uno de sus proveedores afirmó haber realizado un pago que nunca llegó. Tras revisar las comunicaciones, se descubrió que:

  • Se había interceptado un correo legítimo con una factura adjunta
  • El atacante modificó el documento, cambiando el número de cuenta bancaria
  • Se reenviaron los correos manteniendo apariencia totalmente legítima
  • El cliente final realizó el pago… pero a la cuenta del atacante

Este tipo de fraude es especialmente peligroso porque no se basa en errores evidentes, sino en comunicaciones reales previamente comprometidas.

¿Qué es un ataque “man in the middle” en este contexto?

El ataque conocido como man in the middle (MITM) consiste en que un tercero se sitúa entre dos partes que se comunican —en este caso, cliente y proveedor— sin que ninguno de los dos lo perciba.

En entornos de correo electrónico, esto suele implicar:

  • Acceso no autorizado a una cuenta de email
  • Monitorización de conversaciones en tiempo real
  • Intervención en momentos clave (como el envío de facturas)
  • Modificación del contenido antes de que llegue al destinatario

No estamos ante un simple phishing masivo: aquí el atacante estudia, espera y actúa con precisión.

¿Cómo accedieron al correo?

Aunque cada caso requiere un análisis forense completo, los indicios apuntaban a:

  • Credenciales comprometidas (posible phishing previo)
  • Ausencia de doble factor de autenticación (2FA)
  • Acceso persistente a la cuenta sin detección

Es importante destacar que servicios como IONOS ofrecen medidas de seguridad, pero si el usuario solo utiliza usuario y contraseña, el nivel de protección es limitado.

El punto crítico: la ausencia de 2FA

Aquí está la clave del incidente.

El 2FA (doble factor de autenticación) añade una segunda capa de seguridad: aunque un atacante obtenga la contraseña, no podrá acceder sin un segundo factor (código temporal, app, etc.).

En este caso:

  • El atacante accedió con credenciales válidas
  • No existía ninguna barrera adicional
  • Pudo operar dentro del correo como si fuera el usuario legítimo

Con 2FA activado, el acceso habría requerido un segundo elemento que el atacante no tenía, bloqueando el ataque en origen.

Consecuencias del incidente

Este tipo de ataques no solo tiene impacto económico:

  • Pérdida directa de dinero (transferencias fraudulentas)
  • Daño reputacional entre clientes y proveedores
  • Posibles implicaciones legales
  • Necesidad de peritaje informático para esclarecer los hechos

En muchos casos, además, recuperar el dinero es extremadamente complicado.

Cómo prevenir este tipo de ataques

Medidas clave que deberían aplicarse en cualquier empresa:

1. Activar siempre el 2FA

Especialmente en:

  • Correo electrónico
  • Accesos remotos
  • Paneles de gestión

2. Revisar accesos y sesiones

  • Ubicaciones de login sospechosas
  • Dispositivos desconocidos

3. Protocolos de verificación de pagos

Nunca confiar en:

  • Cambios de cuenta bancaria por email sin validación adicional
  • Instrucciones urgentes sin confirmación telefónica

4. Formación básica en ciberseguridad

Muchos ataques empiezan con un simple phishing.

Conclusión

Este caso demuestra una realidad incómoda: no hace falta un ataque sofisticado a nivel técnico para provocar un daño grave. Basta con comprometer una cuenta de correo y esperar el momento adecuado.

El uso de 2FA no es una opción, es una necesidad básica. En entornos empresariales, no activarlo equivale a dejar la puerta abierta.

Desde el punto de vista pericial, este tipo de incidentes refuerza la importancia de analizar no solo qué ha pasado, sino por qué ha sido posible.

📩¿Has sufrido un incidente similar?

Si has detectado accesos sospechosos, correos manipulados o fraudes relacionados con facturas, es importante actuar rápido y con un análisis técnico adecuado.

En IT Forensis somos especialistas en peritaje informático y análisis forense de incidentes de seguridad. Podemos ayudarte a:

  • Analizar el origen del ataque
  • Determinar cómo se ha producido el acceso
  • Recopilar evidencias válidas
  • Asesorarte en la respuesta y prevención

Porque cuando ocurre un incidente, no basta con sospechar: hay que demostrarlo.

✍️ Artículo redactado por Luis Larriu, Perito Informático