Pregúntale a tu director financiero en qué confía más: ¿en el antivirus de los ordenadores o en los procesos de pago de la empresa? Seguramente te dirá que la tesorería está a salvo porque para pagar una factura grande se requieren dos firmas y validación interna.

Los cibercriminales de 2026 lo saben. Por eso ya no intentan hackear la pasarela del banco ni infectar tus ordenadores para robar dinero. Ahora utilizan una técnica mucho más elegante y destructiva: el Fraude BEC (Business Email Compromise).

Se sientan en medio de tus comunicaciones, alteran los números de cuenta en el último segundo y consiguen que seas tú mismo quien les ingrese voluntariamente decenas de miles de euros. Y lo peor de todo: tu carísimo antivirus ni siquiera se inmutará.

La anatomía del ataque perfecto (y silencioso)

El fraude BEC destruye empresas porque es un ataque psicológico y de procesos, no tecnológico. Funciona en tres fases letales:

1. La infiltración invisible

Un comercial o administrativo de tu empresa recibe un correo de phishing (suplantación de identidad) y, por error, introduce su contraseña de Microsoft 365 o Google Workspace en una página falsa. El hacker ya tiene la llave. No bloquea el ordenador ni pide rescate. Entra de forma invisible en el correo del empleado, crea una regla para ocultar ciertos mensajes y simplemente se sienta a leer todas las conversaciones durante semanas. Aprende cómo habláis, quién autoriza los pagos y qué proveedores son los más caros.

2. La interceptación de la factura

El hacker detecta que tu proveedor principal de materias primas acaba de enviar un correo adjuntando la factura trimestral de 45.000€. Antes de que tu empleado la lea, el criminal intercepta el mensaje. Descarga el PDF original, borra el IBAN del proveedor y escribe el IBAN de una cuenta bancaria controlada por mafias internacionales.

3. El golpe financiero

El criminal reenvía el correo modificado desde la cuenta real de tu proveedor (o usando una cuenta idéntica) a tu departamento de administración, añadiendo un mensaje habitual: «Adjunto factura del trimestre. Por favor, tened en cuenta nuestro nuevo número de cuenta para el abono». El correo es legítimo. El PDF es idéntico. La firma es la correcta. Tu departamento de contabilidad valida la factura y emite la transferencia de 45.000€. El dinero desaparece.

La doble ruina: Por qué el banco no te salvará

Cuando descubres el fraude —normalmente semanas después, cuando el proveedor real te llama indignado reclamando su dinero— entras en pánico y llamas a tu banco para retroceder la transferencia.

La respuesta del banco será tajante: «No podemos hacer nada».

Técnicamente, el banco no ha sufrido ninguna vulnerabilidad. Nadie ha hackeado tu cuenta bancaria. Ha sido tu empresa, de forma proactiva y usando las firmas de los apoderados, quien ha ordenado transferir ese dinero a esa cuenta específica. La responsabilidad legal recae íntegramente sobre la PYME.

El resultado es devastador para la cuenta de resultados: acabas de perder 45.000€ y sigues teniendo una deuda legal de 45.000€ con tu proveedor. Tienes que pagar dos veces.

Epic Solutions: Blindaje de identidad corporativa

Creer que la formación de los empleados es suficiente para evitar un fraude BEC es una negligencia. Los correos están tan bien redactados que son indistinguibles de la realidad. El problema se soluciona bloqueando la puerta de entrada.

En Epic Solutions, a través de nuestro mantenimiento proactivo EpicCare IT, asumimos que las contraseñas de tus empleados van a ser robadas tarde o temprano. Por eso construimos arquitecturas de confianza cero (Zero Trust):

• Autenticación Multifactor (MFA) Obligatoria: Si un hacker en Rusia roba la contraseña de tu gerente e intenta entrar al correo, el sistema se lo impedirá porque exigirá una confirmación biométrica o un código temporal que solo existe en el teléfono físico del gerente. El robo de contraseñas queda neutralizado al instante.
• Securización de Protocolos de Correo (DMARC/DKIM/SPF): Configuramos los servidores de tu dominio para evitar que nadie en el mundo pueda enviar correos en nombre de tu empresa (protegiendo a tus clientes de fraudes) y para detectar cuándo un proveedor ha sido suplantado.
• Monitorización de Accesos Imposibles: Nuestro sistema detecta de forma automatizada si el correo de un empleado inicia sesión en Tarragona y, cinco minutos después, intenta iniciar sesión en Nigeria, bloqueando la cuenta de inmediato para evitar la infiltración.

El dinero que gastas en mantener tu infraestructura vulnerable es calderilla en comparación con el impacto de pagar la factura de un cibercriminal.

👉 Contacta con nosotros

Preguntas Frecuentes (FAQ)

¿Por qué mi antivirus no detectó el correo modificado? Porque el Fraude BEC no utiliza software malicioso. El PDF modificado con el IBAN falso no contiene ningún virus, es simplemente un documento de texto. Los antivirus buscan código ejecutable malicioso, pero no saben leer ni validar si un número de cuenta bancaria es legítimo o fraudulento. Es un ataque de identidad, no de software.

Si mi proveedor fue el hackeado y me envió el IBAN falso, ¿de quién es la culpa? La jurisprudencia actual es dura con el pagador. Aunque el correo haya salido de la cuenta hackeada de tu proveedor, la responsabilidad de verificar que la cuenta bancaria de destino es correcta antes de emitir un pago recae sobre tu empresa. Tu empresa asume la pérdida por no haber validado el cambio de IBAN mediante un canal secundario (como una llamada telefónica).

¿Es complicado para mis empleados usar el Doble Factor de Autenticación (MFA)? En absoluto. El MFA moderno solo exige confirmación cuando el usuario inicia sesión desde un ordenador nuevo, una red Wifi desconocida o fuera del país habitual. Para el trabajo diario en el ordenador de la oficina, el sistema recuerda el dispositivo de forma segura, por lo que no ralentiza la productividad, pero levanta un muro infranqueable contra atacantes externos.