El fraude de la factura con el IBAN cambiado: un clásico que hace estragos entre las pymes -

Llega una factura de un proveedor desde su dirección de correo electrónico de siempre. El administrativo de turno ve que todo está en orden, aunque el número de cuenta es diferente al habitual. «Habrán cambiado de banco», piensa, y emite la orden de pago. ¡Error! Hay altas probabilidades de que el dinero acabe en manos de cibercriminales. Es un fraude muy común que hace estragos entre las pymes; «un clásico», como lo define el Jefe de la Sección de Ciberdelincuencia de la Comisaría Provincial de Málaga, Andrés Román. «Pertenece a la tipología de ataques denominados ‘man in the middle’ o BEC [siglas de Business Email Compromise], que representan la principal amenaza contra pymes y empresas», explica el policía, añadiendo que el goteo de casos que reciben es «continuo».

El fraude consiste en cambiar el número de la cuenta del proveedor (IBAN) que aparece en la factura que se adjunta en el correo en formato PDF. A veces, en el texto del correo se añade una frase del tipo «Recordamos que nuestro nuevo número de cuenta es xxx», para reforzar el engaño. La factura llega al pagador desde la dirección de correo habitual, de manera que no levanta sospechas.

Las víctimas de este tipo de fraude son autónomos y pymes, ya que las grandes compañías no se intercambian facturas en PDF, sino que utilizan programas de facturación electrónica.

¿Cómo es posible que los ciberdelincuentes puedan ponerse en medio de emisor y receptor, interceptar los correos y modificar su contenido antes de que llegue al destinatario? La respuesta es sencilla: porque o bien el correo electrónico del emisor o el del receptor se han visto comprometidos por un ataque; es decir, que está bajo control de los ‘malos’.

Un ataque ‘barato’

Una vez tienen acceso al servidor de correo, los ciberdelincuentes no tienen más que crear reglas de correo para reenviar todos los emails procedentes o enviados al proveedor a su propia cuenta. Así pueden modificar a el IBAN de las factura y volver a enviarla.

«No es un ataque de alta sofisticación, hay muchas bandas haciéndolo y no tienen que tener ni siquiera conocimientos de programación; compran credenciales de correo filtradas que hay disponibles en Internet», explica Fernando Ramírez, ‘country manager’ de la empresa de ciberseguridad española Sofistic, que aporta la regla de oro para evitar este tipo de ataques: «Que siempre que haya un cambio de cuenta se haga una verificación por teléfono con la empresa proveedora», apunta.

El correo corporativo: reglas de oro

Comprobar por teléfono si el número de cuenta corresponde al destinatario de la factura
No utilizar el correo corporativo para registrarnos en webs con concursos, foros o servicios ajenos a la empresa. Revisar periódicamente la configuración del correo. Mantener las aplicaciones antimalware actualizadas y activar los filtros ‘antispam’.
Aplicar una política de uso de contraseñas. No dejar a la vista la contraseña, usar contraseñas robustas y cambiarlas periódicamente.

Hay muchas maneras con las que los cibercriminales pueden acceder a un servidor corporativo. Desde el Instituto Nacional de Ciberseguridad (Incibe) enumeran algunas: «Pueden haber entrado en nuestra cuenta de correo por falta de concienciación si tenemos equipos sin acceso por contraseña; si tenemos las contraseñas a la vista o almacenadas en texto plano en el propio equipo; si utilizamos contraseñas poco robustas o si no utilizamos doble factor de autenticación. También la han podido obtener utilizando técnicas de ingeniería social o ‘phishing’; o puede que hayamos instalado sin darnos cuenta un ‘malware’ para robar nuestras credenciales. También hay ataques automatizados con contraseñas comunes o contraseñas filtradas por brechas de seguridad».

En definitiva, los malos tienen muchas maneras de acceder a un servidor de correo de una empresa. Y una vez tendida la trampa, no es difícil caer. «La víctima que está esperando un correo con la factura del proveedor baja la guardia, presta menos atención y se confía, lo que hace que estos ataques sean muy efectivos. Además, es un fraude fácil para el ciberdelincuente pues puede obtener ingresos elevados y no precisa tener conocimientos avanzados», explican desde el Incibe.

¿Qué hacer si hemos caído?

¿Qué hacer si ya hemos caído en la trampa? Lógicamente, lo primero es avisar al banco lo antes posible, aunque el Banco de España recuerda que las transferencias son «mandatos de pago irrevocables y las entidades no están facultadas para ordenar la devolución sin el consentimiento del titular que se ha beneficiado». «Ahora bien, de conformidad con las buenas prácticas y usos financieros, a la entidad se le exige que haga esfuerzos razonables para tratar de recuperar el importe transferido, contactando con el banco receptor», matiza el regulador.

El Incibe aconseja reportar el incidente adjuntando el correo y sus adjuntos para su análisis a incidencias@incibe-cert.es, además de denunciar el fraude ante las Fuerzas y Cuerpos de Seguridad del Estado. Suele ser necesario realizar un análisis forense. «A nosotros nos lo piden mucho para este tipo de casos», apunta Ramírez.

Además, si a través del correo los malos han podido tener acceso a datos personales de clientes, la empresa afectada tiene que notificar el incidente antes de 72 horas a la autoridad de control competente.

Fuente: diariosur.es (11/8/25) pixabay.com

Cookie	Propósito
__ssid	Para procesar pagos y ayudar en la detección de fraudes.
__stripe_sid / __stripe_mid	Para procesar pagos y ayudar en la detección de fraudes.
_longreads_prod_new	Autenticación para cuentas de miembros de Longreads.com. Solo activo cuando está conectado, en dominios * .longreads.com.
akm_mobile	Almacena si un usuario ha elegido ver la versión móvil de un sitio web.
botdlang	Se usa para rastrear el idioma que un usuario ha seleccionado para ver blogs populares.
country_code	Se utiliza para determinar si se debe mostrar o no el banner de cookies. Se configura inmediatamente al cargar la página y se retiene durante 6 horas para recordar el país del visitante.
csrftoken	Cookie de seguridad Python / Ajax utilizada en accounts.longreads.com.
forterToken	Para procesar pagos y ayudar en la detección de fraudes.
landingpage_currency	Define la moneda que se muestra en las páginas de destino de WordPress.com.
pd_dashboard	Registra la última carpeta utilizada en el panel de Crowdsignal para que se pueda volver a abrir en la próxima visita del usuario.
PD_USER_AUTH	Cookie de inicio de sesión utilizada para identificar a la usuaria de Crowdsignal. (femenino)
sensitive_pixel_option	Recuerda el estado de aceptación del visitante al banner de cookies. Solo se configura cuando el visitante hace clic en Aceptar.
twostep_auth	Recuerda el estado de aceptación del visitante al banner de cookies. Solo se configura cuando el visitante hace clic en Aceptar.
wordpress_logged_in*	Comprueba si el visitante actual es un usuario registrado en WordPress.com.
wordpress_test_cookie	Comprueba si las cookies están habilitadas para proporcionar una experiencia de usuario adecuada.
wp-settings-{user_id}	Persiste la configuración wp-admin de un usuario.
wp_sharing_{id}	Realiza un seguimiento de si un usuario ya ha realizado una acción.

Cookie	Propósito
__pdvt	Se utiliza en el registro de datos de encuestas de Crowdsignal para ayudar a depurar los problemas de los clientes.
_hjIncludedInSample mp_6d7c50ad560e01715a871a117a2fbd90_mixpanel optimizelyBuckets optimizelyEndUserId __hstc hubspotutk optimizelySegments	Recopila información que nos ayuda a comprender cómo los visitantes interactúan con nuestros sitios web, lo que nos permite crear una mejor experiencia para los visitantes.
ab	Se utiliza para "pruebas AB" de nuevas funciones.
nux_flow_name	Identifica qué flujo de registro de usuario se le mostró al usuario.
tk_ni / tk_ai / tk_qs	Recopila información para nuestra propia herramienta de análisis de origen sobre cómo se utilizan nuestros servicios. Una colección de métricas internas de la actividad del usuario, que se utiliza para mejorar la experiencia del usuario.
tk_*r	Cookies de referencia que se utilizan para analizar el comportamiento de las referencias de los sitios conectados a Jetpack que utilizan WooCommerce.
wp-affiliate-tracker	Recuerda la identificación del afiliado que refirió al usuario actual a WordPress.com
utma / utmb / utmc / utmt / utmz / ga / gat / gid	Google analitico. Recopila información que nos ayuda a comprender cómo los visitantes interactúan con nuestros sitios web, lo que nos permite crear una mejor experiencia para nuestros visitantes. Nuestros usuarios también pueden implementar Google Analytics en sus propios sitios web.Advertising

Cookie	Propósito
ads	Rastrea si una visitante ha hecho clic en un anuncio antes. (femenino)
lr_nw	Cuenta y realiza un seguimiento de las páginas vistas en Longreads.com. Se usa para determinar si mostrar o no nuestro mensaje emergente de Membresía.
wordpress_eli	Reduce la visualización de anuncios para visitantes habituales.

COOKIES ANALÍTICAS
Nombre de Cookies	Propósito	Vencimiento
__utma	Recopila datos como el número de veces que un usuario ha estado en el sitio, cuando ha sido su primera visita y cuando se produjo su última visita. Utilizado por Google Analytics.	2 años
__utmb	Toma una fecha y hora en el momento exacto que entra el usuario a la web así toma el tiempo que ha estado un visitante en el sitio. Utilizado por Google Analytics para calcular el tiempo que tarda una visita en el sitio web.	30 minutos
__utmc	Toma una fecha y hora en el momento exacto que entra el usuario a la web así toma el tiempo que ha estado un visitante en el sitio. Utilizado por Google Analytics para calcular el tiempo que tarda una visita en el sitio web.	Cuando el explorador es cerrado
__utmz	Recopila datos acerca desde dónde proviene el visitante, las palabras que uso en el motor de búsqueda, en donde realizo clicks y desde que parte del mundo accedió. Utilizado por Google Analytics.	6 meses
WORDPRESS_STATS_SESSID	Toma una fecha y hora en el momento exacto que entra el usuario a la web así toma el tiempo que ha estado un visitante en el sitio.	Cuando el explorador está cerrado
wpstats_auth	Cookie para guardar los datos en Wordpress_stats, herramienta de Control de Visitas	Cuando el explorador está cerrado

Cookie	Propósito
comment_author_{HASH}	Recuerda el valor ingresado en el campo de nombre del formulario de comentarios. Específico del sitio desde el que se establece. Esta cookie refleja una configurada por el software principal de WordPress para fines de comentarios.
comment_author_email_{HASH}	Recuerda el valor ingresado en el campo de correo electrónico del formulario de comentarios. Específico del sitio desde el que se establece. Esta cookie refleja una configurada por el software principal de WordPress para fines de comentarios.
comment_author_url_{HASH}	Recuerda el valor ingresado en el campo de URL del formulario de comentarios. Específico del sitio desde el que se establece. Esta cookie refleja una configurada por el software principal de WordPress para fines de comentarios.

Relacionado