Fraude por cambio de número de cuenta bancaria en correos electrónicos

Tu factura no habla contigo: solo obedece al número de cuenta que pone en el PDF. Y si ese IBAN lo ha escrito un delincuente en mitad del camino, tu dinero viajará suave, puntual… y desaparecerá sin ruido.

Ese es el corazón del fraude por cambio de número de cuenta bancaria en correos electrónicos. No entra a golpes, no deja rastro visible y casi siempre se descubre tarde. Es el tipo de delito que nadie quiere ver en su empresa… hasta que aparece en la conciliación bancaria.

Cuando el enemigo se sienta entre tu proveedor y tú

Imagina esta escena.

Tu gestor recibe la factura de un proveedor habitual: mismo correo, mismo logo, mismo tono. Abre el PDF, revisa el concepto, comprueba el importe y programa la transferencia. Todo parece normal.

Semanas después, el proveedor llama enfadado:
—No has pagado.
—Claro que sí. Aquí tienes el justificante.

Dos pantallas, dos justificantes, dos números de cuenta distintos.

Bienvenido a la estafa del IBAN cambiado.

En la mayoría de los casos, el ataque sigue un patrón ya clásico que los expertos llaman Business Email Compromise (BEC) y que suele apoyarse en una técnica de “Man in the Middle”: alguien se coloca en medio de la conversación digital entre emisor y receptor, intercepta correos, modifica los datos de pago y reenvía el mensaje sin que ninguna de las partes lo note.​

El resultado es perversamente elegante:

• El proveedor cree haber enviado su factura.
• El cliente cree haberla pagado.
• El banco cree haber ejecutado una orden legítima.
• Solo la cuenta de destino sabe la verdad.

No es magia: es acceso a tu correo

¿Cómo pueden “colarse” así entre tus mensajes?

En la mayoría de los casos, porque en algún punto alguien bajó la guardia:

• Un empleado recibió un correo falso de “actualización de servidor” o “aviso crítico del proveedor de hosting” y tecleó sus credenciales en una web clonada.
• Un responsable TI reutilizó una contraseña débil en varios servicios.
• Se desactivó –o nunca se activó– el doble factor de autenticación.

Con esas credenciales robadas, el atacante entra al servidor de correo y hace algo que muchos desconocen: no necesita estar mirando la pantalla cada día. Basta con crear reglas automáticas:

• “Reenvía silenciosamente a esta cuenta todos los correos que entren o salgan con el asunto ‘factura’, ‘pago’, ‘transferencia’, o que vengan de proveedor@tuproveedor.com.”
• “Oculta estos mensajes de la bandeja de entrada original para no levantar sospechas.”​

A partir de ahí, el ciberdelincuente puede:

• Descargar la factura original en PDF.
• Modificar solo el IBAN, manteniendo logos, formato y contenido intactos.
• Volver a adjuntarla y reenviar el correo desde la misma cuenta comprometida.

Para quien paga, todo encaja: el mismo correo de siempre, la misma factura de siempre, el mismo proveedor de siempre. Solo cambia lo único que no se mira con lupa: el número de cuenta.

Cuando el “malo” no está fuera, sino dentro

No todos los ataques vienen de fuera.

En algunas investigaciones periciales, la sorpresa ha sido mayúscula:
el correo no estaba comprometido por un tercero; quien había cambiado el IBAN era alguien dentro de la casa.

Un empleado con acceso legítimo al servidor de correo, o incluso al sistema de facturación, puede:

• Sustituir la factura original por otra con cuenta diferente.
• Editar directamente el PDF antes de enviar.
• Cambiar el IBAN en el cuerpo del correo “a mano”.

No hacen falta grandes habilidades técnicas. Bastan oportunidad, conocimiento del proceso y la certeza de que nadie comprobará por teléfono el cambio de cuenta.

Por eso, en peritajes serios no basta con buscar IPs raras “desde fuera”: hay que revisar también:

• Qué usuarios tenían permisos sobre el servidor.
• Qué sesiones se iniciaron desde dentro de la red.
• Qué modificaciones se hicieron en los documentos y cuándo.​

Anatomía de un caso real: 24.000 euros que cambiaron de dueño

GlobátiKa Peritos Informáticos se encuentra ya con este tipo de fraude como parte de su “paisaje habitual” de casos. En uno de ellos, una empresa transfirió 24.000 euros a la cuenta indicada en una factura recibida por correo electrónico. El proveedor insistía en que no había cobrado; el cliente aseguraba que sí. Ambos tenían razón… a medias.​

El trabajo pericial se convirtió en la única forma de deshacer el nudo:

1. Se obtuvieron la factura original del proveedor y la versión que llegó al cliente.
2. Se analizaron los metadatos de ambos PDF: fechas de creación, modificación, herramienta utilizada, autor.
3. Se reconstruyó la línea temporal del correo original, el acceso al servidor y el momento exacto en que se modificó el archivo.

El resultado fue muy revelador:

• La factura original se generó a una hora concreta.
• Minutos después, el archivo fue abierto, editado y guardado de nuevo con un IBAN diferente.
• Ese nuevo documento fue el que, en realidad, viajó hasta la bandeja de entrada del cliente.

Es ese tipo de detalle técnico –minutos, versiones, huellas de edición– lo que convierte una “sospecha razonable” en una prueba sólida ante un juez o ante una aseguradora.​

¿Quién paga el plato roto? El triángulo proveedor–cliente–banco

En cuanto salta el problema, comienza el baile de responsabilidades:

• El proveedor reclama su dinero: “No he cobrado.”
• El cliente se defiende: “He pagado según la factura recibida.”
• El banco alega: “Ejecuté una orden válida de mi cliente a la cuenta que él indicó.”

¿Quién se queda con el agujero?

La respuesta no es sencilla y varía según:

• Si hubo negligencia en la protección del correo (contraseñas débiles, falta de doble factor).
• Si el proveedor informó de forma clara cualquier cambio de cuenta bancaria por canales secundarios (p. ej., carta certificada, comunicación previa).
• Si el cliente aplicó protocolos mínimos de verificación cuando el IBAN cambió (llamada telefónica, validación con contacto conocido).
• Si existían seguros de ciberriesgo o de fraude que contemplaran este tipo de incidentes.​

Para abogados, este tipo de casos son un campo de minas y una oportunidad:

• De un lado, para delimitar responsabilidades contractuales y extracontractuales.
• De otro, para apoyar reclamaciones –frente a bancos, proveedores o aseguradoras– en dictámenes periciales tecnológicos que acrediten dónde se produjo la manipulación.

El perito informático: la linterna en la escena invisible

En la estafa del IBAN cambiado, casi ninguna prueba relevante “se ve” a simple vista.

Todo lo importante está oculto en:

• Cabeceras de correo (fechas reales de envío, servidores por los que pasó, direcciones de origen y destino técnicas).
• Reglas de reenvío configuradas en la cuenta.
• Metadatos de los archivos PDF.
• Registros de acceso al servidor de correo (IPs, geolocalizaciones aproximadas, sistemas operativos, horarios).
• Logs del proveedor de hosting o del servicio de correo (Microsoft 365, Google Workspace, etc.).​

El perito informático tiene, en estos casos, tres misiones:

1. Reconstruir el ataque
   • ¿Desde qué cuenta se produjo la manipulación?
   • ¿Hubo acceso externo o interno?
   • ¿Qué técnica se utilizó (phishing, credenciales filtradas, acceso físico)?
2. Vincular hechos y tiempos
   • ¿Cuándo se generó la factura original?
   • ¿Cuándo se modificó?
   • ¿Cuándo se envió el correo alterado?
3. Traducirlo a un lenguaje judicialmente útil
   • Explicar qué era razonablemente evitable y qué no.
   • Determinar si hubo diligencia por parte de las partes.
   • Aclarar si se usaron medidas de seguridad estándar o se ignoraron buenas prácticas básicas.

Sin ese trabajo, el caso se convierte en un juego de “yo pensaba” contra “yo creía”. Con él, los jueces, las aseguradoras y las fuerzas policiales tienen algo mucho más valioso: una narrativa técnica sustentada en evidencia.

La cara B: aseguradoras de ciberseguridad y litigios que sí se ganan

Cada vez más empresas contratan seguros de ciberseguridad que incluyen coberturas por fraude electrónico y suplantación de identidad. Sobre el papel suena tranquilizador, pero la letra pequeña suele exigir lo mismo:

“Deberá acreditarse el incidente mediante informe pericial independiente que describa técnicamente la intrusión o manipulación sufrida.”

Es decir: sin peritaje, no hay reclamación sólida.

En los casos de fraude de IBAN, un buen informe puede marcar tres diferencias:

• Acelerar la aceptación del siniestro por parte de la aseguradora.
• Apoyar acciones regresivas frente a terceros negligentes (por ejemplo, un proveedor tecnológico que no implementó medidas básicas de seguridad).
• Reducir la sensación de “mala suerte inevitable” y convertir el caso en algo analizables y prevenible.​

¿Se puede evitar? Sí, pero no con un truco único

La mala noticia: no hay una herramienta mágica que “bloquee para siempre” este fraude.

La buena: hay varias medidas sencillas, baratas y muy efectivas si se aplican con constancia.

1. Cultura de verificación “por voz”

La regla de oro que repiten expertos y cuerpos policiales es casi ofensivamente simple:

“Si cambia el número de cuenta, levanta el teléfono.”

• Nunca aceptes un nuevo IBAN solo porque viene por correo.
• Llama al contacto de confianza del proveedor (a un número conocido, no al del correo sospechoso).
• Verifica de viva voz el cambio y, si hace falta, pide confirmación por un segundo canal (por ejemplo, un correo alternativo o un documento firmado).​

2. Cuidar de verdad las credenciales

• Activar sí o sí el doble factor de autenticación en todos los correos corporativos.
• Evitar contraseñas recicladas entre servicios.
• Cambiar de inmediato claves de paneles de hosting, servidores y aplicaciones clave cuando hay dudas o incidentes.

3. Limitar el “poder del PDF”

• Evitar, siempre que sea posible, incluir el IBAN directamente en la factura en PDF o, al menos, no cambiarlo sin un canal alternativo de comunicación.​
• Avanzar hacia sistemas de facturación electrónica más robustos que el simple intercambio de adjuntos, especialmente en operaciones de alto valor.

4. Formación continua y realista

No basta con un cartel de “cuidado con el phishing”.

• Simular campañas internas controladas para enseñar a los empleados cómo son estos correos.
• Explicar, con ejemplos cercanos, las consecuencias: “Un clic aquí nos costaría 24.000 €.”
• Integrar la accesibilidad y la claridad en las políticas internas: que nadie tenga vergüenza de preguntar antes de pagar.

Para quien investiga: preguntas que no deberían faltar

Si eres policía, fiscal, juez, abogado o perito, y te llega un caso de este tipo, hay un conjunto de preguntas mínimas que conviene hacer desde el minuto uno:

• ¿Qué correos exactos se enviaron y recibieron?
• ¿Se han preservado las cabeceras completas (no solo el contenido)?
• ¿Quién gestiona el servidor de correo (in-house, proveedor externo, nube)?
• ¿Qué registros de acceso existen y durante cuánto tiempo se conservan?
• ¿Ha habido otros incidentes similares en la empresa o en proveedores conectados?
• ¿Se ha notificado el incidente a INCIBE o a la autoridad de protección de datos si hay datos personales afectados?​

Cuanto más se retrase esta recogida, más probabilidad hay de que logs críticos se borren de forma automática.

No es solo dinero: es confianza en el sistema

Más allá de los miles de euros, este fraude golpea algo más delicado: la confianza.

• Proveedores que empiezan a mirar con recelo a clientes que “no pagan”.
• Clientes que se sienten culpables por “no haber revisado mejor”.
• Empresarios que desconfían de su propia tecnología.
• Empleados que cargan con una culpa que no siempre les corresponde.

En ese clima, el trabajo bien hecho –tanto en prevención como en respuesta– se convierte en un antídoto cultural:

• Protocolos claros de verificación que no criminalizan al trabajador, sino que le dan herramientas.
• Peritajes que explican, con rigor y sin tecnomagia, qué pasó y qué se puede mejorar.
• Abogados que no se limitan a buscar culpables, sino que ayudan a rediseñar procedimientos.
• Cuerpos policiales y unidades de ciberdelincuencia que tratan estos casos no como anécdotas, sino como un patrón estructural contra pymes y autónomos.​

Y ahora, la parte incómoda: ¿qué harías mañana?

Si has llegado hasta aquí, te propongo un ejercicio muy simple y muy práctico:

1. Piensa en tu empresa, despacho, administración, comercio o incluso economía personal.
2. Identifica una sola factura importante que suelas pagar por transferencia tras recibir un correo.
3. Pregúntate, honestamente:
   • ¿Qué tendría que pasar para que alguien cambiase ese IBAN sin que yo me enterase?
   • ¿Tengo alguna regla interna que obligue a verificar cambios de cuenta por teléfono?
   • Si mañana pasara, ¿sabría a quién llamar, qué conservar, a qué peritos acudir?

El fraude del IBAN cambiado no es un guion de película de hackers. Es un ladrón silencioso que vive en algo tan cotidiano como tu bandeja de entrada.

La buena noticia es que no estás indefenso.

Entre la prevención sensata y el peritaje riguroso hay un espacio enorme para que abogados, peritos, estudiantes, cuerpos policiales, empresarios y ciudadanos construyan juntos algo que en digital vale oro: la capacidad de detectar antes, reaccionar mejor y no volver a caer en el mismo agujero dos veces.

Porque al final, las cuentas no solo cuadran en el banco.

También cuadran –o se deshacen– en cómo decidimos proteger lo que damos por hecho cada vez que pulsamos “enviar”.