El Business Email Compromise (BEC) ya no es una amenaza teórica. En 2026, una red criminal estafó 243.718 euros a una empresa y una entidad religiosa en España. Los atacantes infiltraron correos corporativos, manipularon facturas reales y redirigieron pagos a cuentas bajo su control. Esta operación, desarticulada por la Guardia Civil, revela fallos críticos en la ciberseguridad operativa y en los controles financieros internos.
¿Qué es el Business Email Compromise y cómo funciona?
El Business Email Compromise es un ataque de ingeniería social altamente dirigido. No depende de malware ni de exploits técnicos complejos. Se basa en el acceso no autorizado a cuentas de correo corporativo —por phishing, credenciales robadas o reutilización de contraseñas—.
Una vez dentro, los atacantes observan en silencio el flujo de comunicaciones. Estudian plazos de pago, proveedores habituales y formatos de facturas. Su objetivo: intervenir en un momento crítico sin levantar sospechas.
El punto de inflexión: la sustitución silenciosa
En este caso, los ciberdelincuentes detectaron el envío de una factura legítima. Interceptaron el correo y reemplazaron el número de cuenta bancaria por uno controlado por ellos. Las víctimas transfirieron los fondos creyendo que cumplían con sus obligaciones comerciales.
¿Por qué fallaron los controles de verificación bancaria?
Las empresas afectadas no aplicaron protocolos de doble verificación para cambios de datos bancarios. Este es un fallo recurrente en entornos con procesos contables automatizados pero sin capas de validación humana o multifactorial.
La brecha entre tecnología y procedimiento
Contar con correo cifrado o autenticación multifactorial no basta si los procesos internos no exigen confirmación telefónica o por canal seguro ante cualquier modificación de cuentas. En este caso, la ausencia de ese control permitió que la estafa pasara desapercibida hasta después del segundo pago.
¿Qué dice la ley española sobre estafas BEC y responsabilidad empresarial?
El Código Penal español tipifica la estafa (art. 248) y el blanqueo de capitales (art. 301) como delitos graves. Pero también establece responsabilidades derivadas: las empresas deben adoptar medidas de debida diligencia tecnológica, según la Ley Orgánica de Protección de Datos (LOPDGDD) y el Reglamento General de Protección de Datos (RGPD).
Obligaciones legales clave
- Implementar controles de acceso basados en el principio de mínimo privilegio.
- Registrar y auditar cambios en datos bancarios sensibles.
- Capacitar al personal en detección de anomalías en correos comerciales.
¿Cuál es el impacto económico real del BEC en España?
Según el Informe Anual de Ciberseguridad 2025 del INCIBE, el BEC representa el 37 % de las estafas cibernéticas con mayor impacto financiero en pymes. El coste medio por incidente supera los 185.000 euros. Además, el 62 % de los casos no recuperan fondos, incluso con denuncia temprana.
Datos Clave
- 7 personas investigadas: 3 hombres y 4 mujeres, de 24 a 36 años.
- 243.718 euros estafados en dos transferencias separadas.
- Cuentas bancarias identificadas en 6 provincias: Ávila, Ciudad Real, Jaén, Málaga, Santa Cruz de Tenerife y Valencia.
- Colaboración clave con entidades bancarias para rastrear y bloquear movimientos.
- Uso de análisis de huella digital, direcciones IP y patrones de comportamiento para la investigación.
El caso refleja una tendencia creciente: los ciberdelincuentes priorizan la explotación de procesos humanos sobre vulnerabilidades técnicas. La inversión en formación continua y en protocolos de verificación cruzada reduce hasta un 89 % el riesgo de éxito de un ataque BEC, según datos del CNPIC. Las empresas que integran controles financieros con validación humana y tecnológica están 4,3 veces menos expuestas a este tipo de fraude.
