Una ciberestafa muy común en las empresas
Las compañías se han convertido en uno de los principales blancos de los ciberestafadores a través de un elaborado fraude por correo electrónico. Así le ocurrió a esta mediana empresa con los pagos a un proveedor
La empresa protagonista de este caso fue víctima del fraude por correo corporativo comprometido (conocido por sus siglas en inglés, BEC, por business e-mail compromise). En él, los ciberdelincuentes suplantan a un proveedor y piden el pago de una factura a una nueva cuenta, que, en realidad, es fraudulenta. También pueden solicitar información confidencial. ¿Cómo lo logran? Interceptan comunicaciones entre clientes y proveedores y se hacen pasar por ellos
En 2023, el 70% de las empresas ubicadas en España fue objeto del fraude por correo corporativo comprometido, de acuerdo con una encuesta de la firma estadounidense de ciberseguridad Proofpoint. En este tipo de estafas los ciberdelincuentes se valen de la confianza labrada durante años entre dos empresas. Recientemente, la Guardia Civil ha detenido a un grupo de estafadores acusados de haber robado a varias compañías cerca de 100.000 euros por medio de este fraude.
TÉCNICAS DE MANIPULACIÓN
Confianza
Suplantan a trabajadores de la empresa proveedora con los que la compañía víctima tiene una relación consolidada
No suscitar dudas
Los estafadores pueden anticipar o neutralizar cualquier recelo del recepto para evitar la verificación por un segundo canal
CIBEREXPERTO
NOMBRE Jordi Sánchez
CARGO Experto en fraude de CaixaBank
“Los estafadores han investigado y conocen bien el organigrama, los datos financieros y los proyectos tanto de la empresa a la que suplantan como a la que estafan”
CÓMO EVITAR LA ESTAFA DE INVERSIÓN
1
Verificar por un canal alternativo al correo electrónico la petición del proveedor. Por ejemplo, a través del número telefónico habitual de la empresa
2
Implantar un doble control de pagos, de manera que cada transacción requiera de al menos dos validaciones internas
3
Proteger el acceso a las cuentas de correo electrónico con la autenticación multifactor: por ejemplo, con la petición de la contraseña y un código enviado por SMS
4
Formar al personal. Instruir a los equipos permite estar alerta ante estas estafas cambiantes
Un cambio de letra es suficiente. A veces, los estafadores no necesitan colarse en los correos corporativos de la empresa víctima; simplemente crean una cuenta de correo similar a la de la empresa, cambiando alguna letra, y emiten la factura. Para dar sensación de autenticidad, acompañan el e-mail con una falsificación del certificado de titularidad bancario, documento que permite probar que una persona física o jurídica es titular de una cuenta concreta; y, en algunos casos, refuerzan el engaño con una llamada para explicar el porqué del cambio de correo.
Una variante de la estafa. Cuenta Jordi Sánchez, experto en fraude de CaixaBank, que cada vez es más común una variante de esta estafa que afecta directamente a los trabajadores de las empresas. En vez de suplantar a un proveedor, los estafadores se hacen pasar por un empleado que se pone en contacto con el departamento de Recursos Humanos para avisar de un cambio de cuenta corriente en la que recibir la nómina.
Un engaño que se tarda en descubrir. El gran problema de la estafa por correo corporativo comprometido es que la víctima no se da cuenta hasta que su proveedor le solicita el pago real, algo que suele suceder 60 o 90 días después: “Esto complica el rastreo del dinero”, asegura Sánchez. Por esto, insiste, cotejar la nueva información con el proveedor o el empleado a través del teléfono, se convierte en la opción más sencilla y poderosa para frenar el engaño.
Una piedra en el camino de los estafadores. Desde el 9 de octubre de 2025 un reglamento de la Unión Europea obliga a verificar el nombre del beneficiario en las transacciones bancarias. El sistema avisa al emisor si el nombre del destinatario que ha introducido manualmente no coincide con el del titular de la cuenta destino. Esto, explica Sánchez, ayuda a reducir este tipo de estafas, pero no las frena, ya que el usuario puede emitir ese pago pese a la discrepancia. En caso de que el emisor dude, el estafador, ya sea vía e-mail o vía llamada, intentará convencer a la víctima con pretextos como que la nueva cuenta de destino pertenece al responsable de Administración o que la empresa ha cambiado de dueños.
¿Y si aún así se es víctima de la estafa? Lo primero que se debe hacer es notificarlo a la entidad bancaria y, seguidamente, a la policía. Cuanto antes, mejor. Además, habrá que recabar la mayor cantidad de información posible para ponerla a disposición de las autoridades.
OTROS CASOS DE FRAUDE POR CORREO COMPROMETIDO
Cada semana aparecen nuevas maneras de embaucar a ciudadanos con una estafa de este tipo. Algunas de las registradas por el Instituto Nacional de Ciberseguridad son:
