En pleno 2025, cuando hablar de digitalización es sinónimo de progreso, productividad y competitividad, existe un enemigo invisible acechando en la sombra de cada correo electrónico: las estafas informáticas. Lo que antes era un problema aislado, hoy se ha convertido en una amenaza global, constante, sofisticada y creciente.
La Guardia Civil, a través de una operación coordinada entre el Equipo de Investigación Tecnológica (EDITE) y el Equipo @ de la Comandancia de Segovia, ha detenido en Riba-Roja de Turia (Valencia) a una mujer de 40 años acusada de perpetrar una estafa telemática con la que robó 8.730,45 € a una empresa de Segovia. El método empleado: Business Email Compromise (BEC), un fraude digital tan sutil como devastador.
El caso: cómo una factura se convirtió en la herramienta del engaño
La trama comenzó con dos denuncias: la de la empresa damnificada, que nunca recibió el pago de una factura enviada, y la de un tercero que creía estar pagando a su proveedor legítimo.
La investigación reveló que la detenida había conseguido acceder de forma ilícita a los servicios de correo electrónico de la empresa original. Una vez dentro, interceptó una factura en circulación, modificó la cuenta bancaria de destino y la reenvió sin levantar sospechas. El pago, que el cliente creyó transferir a su proveedor, se dirigió a una cuenta instrumental bajo control de la autora. La empresa emisora quedó sin el cobro, y el dinero emprendió un viaje cuesta abajo hacia el blanqueo de capitales.
Lo más inquietante: no fue un fallo técnico grave, sino un ataque quirúrgico, rápido y extremadamente difícil de detectar para un ojo no entrenado.
¿Qué es exactamente el Business Email Compromise (BEC)?
El BEC es una estafa corporativa por correo electrónico que explota la confianza en las relaciones comerciales. Su secuencia habitual es:
- Intrusión inicial
- Mediante phishing, robo de credenciales o malware, el atacante obtiene acceso al correo de una empresa o directivo.
- Vigilancia invisible
- El delincuente monitoriza el flujo de correos para identificar facturas, contratos o transferencias en curso.
- Manipulación de documentos
- Cambia los datos bancarios o introduce variaciones sutiles en la dirección de email del proveedor (typosquatting).
- Cobro fraudulento
- El dinero se transfiere a una cuenta “mule” (instrumental) y rápidamente se dispersa para evitar su rastreo.
Este método es tan exitoso que el FBI lo considera uno de los ciberataques con mayor ROI para los delincuentes. En 2024, solo en Estados Unidos, las pérdidas superaron los 2.400 millones de dólares.
Por qué el BEC está en auge en 2025: Varias razones explican por qué casos como el de Riba-Roja se repiten y crecen:
- Digitalización acelerada de pymes sin la misma inversión en ciberseguridad que las grandes empresas.
- Confianza excesiva en el correo electrónico como canal seguro.
- Uso extendido de smartphones y trabajo en remoto, que facilitan que empleados procesen pagos sin el mismo protocolo que en oficina.
- Inteligencia artificial generativa: permite a delincuentes redactar correos impecables, perfectamente adaptados al tono de comunicación de la empresa.
- Bancos y criptomonedas: facilitan, con rapidez y dispersión, el movimiento de fondos robados.
Aunque el caso de Segovia afectó a una sola empresa. el daño no es solo monetario. Los efectos incluyen:
- Pérdida de liquidez: afecta directamente a la capacidad de pago de nóminas o proveedores.
- Daño reputacional: una empresa que se ve envuelta en un fraude, incluso como víctima, puede perder clientes.
- Daño en la relación proveedor-cliente: la confianza se erosiona y obliga a establecer procesos más rígidos.
- Costes de investigación y legales: bloqueos de cuentas, abogados, peritajes, auditorías.
- Estrés y desgaste del equipo: enfrentarse a un crimen digital puede paralizar operaciones y aumentar la ansiedad interna.
Cómo detectar señales de un posible BEC
No siempre hay un gran cartel de “esto es fraude”, pero hay alertas que pueden salvar a una empresa:
- Cambios de última hora en los datos bancarios de un proveedor.
- Sutilezas en la dirección de correo (una letra cambiada, un dominio .com en vez de .es).
- Solicitudes de confidencialidad o urgencia en el pago.
- Documentos PDF con metadatos extraños o modificados recientemente.
- Correo que mantiene el tono de la empresa, pero se envía desde IP no habitual o fuera del horario de trabajo.
Protegerse en 2025: barreras contra el fraude BEC
En base a casos reales como este y las recomendaciones de equipos como EDITE, estas son las medidas imprescindibles:
- Seguridad del correo electrónico
- Activar autenticación multifactor (MFA) en todos los accesos corporativos.
- Usar sistemas de filtrado avanzado de phishing y malware.
- Habilitar alertas de inicio de sesión sospechoso.
- Protocolos internos de validación
- Nunca cambiar datos bancarios basándose solo en un correo: usar confirmaciones por llamada o apps seguras.
- Definir políticas de aprobación múltiple para transferencias altas.
- Formación y concienciación
- Simulacros periódicos de phishing.
- Cursos para identificar patrones de ingeniería social.
- Política clara de qué hacer ante un correo sospechoso.
- Tecnología de detección
- Implementar herramientas de IA que analicen patrones de comunicación para detectar anomalías.
- Uso de SPF, DKIM y DMARC para autenticar dominios y evitar suplantaciones.
- Plan de respuesta a incidentes
- Tener protocolo de contacto inmediato con el banco y policía.
- Mantener una lista de teléfonos de emergencia para bloquear transferencias en minutos.
La lección es clara: ninguna empresa es demasiado pequeña para ser objetivo.
El objetivo de los delincuentes no siempre son grandes sumas; muchas veces prefieren cantidades menores y ataques repetidos, que pasan desapercibidos y se multiplican en beneficios.
En el contexto español, la colaboración con la Guardia Civil, unidades como EDITE y Equipos @, y peritos informáticos colegiados es clave para que la recuperación de fondos y la persecución penal tenga éxito.
En los próximos años veremos una guerra silenciosa: delincuentes usando IA para perfeccionar sus ataques y empresas utilizando IA para anticiparlos.
La formación humana seguirá siendo el eslabón más débil… o más fuerte, dependiendo de si se invierte en capacidades de detección, análisis y respuesta.
Lo que pasó en Riba-Roja no es solo una noticia policial; es un espejo en el que pueden verse reflejadas cientos de empresas españolas. El fraude BEC es un ataque que mezcla ingeniería social, vulnerabilidades tecnológicas y errores humanos.
Combatirlo requiere una estrategia integral: tecnología, procesos, formación y cooperación.
Porque, al final, en la era digital, no se trata de preguntarse si intentarán atacarte, sino de estar preparado para cuando lo hagan.
