← Volver al blog
BEC / empresa fraude del ceo bec

El fraude del CEO: cuando el timo entra por un email interno

El jueves a las 11:47, la persona de administración de una empresa de logística de Castellón recibe este correo:

De: Alejandro Vidal <avidal@logistica-grupo-vidal.net>
Asunto: Transferencia urgente — confidencial

Hola,

Necesito que proceses hoy mismo una transferencia de 34.800 € a la cuenta que te indico. Es una operación de adquisición que no podemos comentar internamente todavía. El abogado que gestiona la operación se pondrá en contacto contigo para darte los datos bancarios.

No menciones esto a nadie del equipo. Yo estoy en reuniones hasta las 6. Confío en ti.

Gracias,
Alejandro

El dominio real de la empresa es logisticavidal.es. El correo viene de logistica-grupo-vidal.net. Un guion, tres palabras añadidas, un TLD distinto. La persona de administración no lo ve. Procesa la transferencia. El dinero sale. No vuelve.

Esto no es ciencia ficción ni un caso de una multinacional. El fraude del CEO —conocido en el sector como BEC, Business Email Compromise— destruye empresas medianas y pequeñas en España cada semana. El Banco de España no lo cubre. El seguro probablemente tampoco. Y la Policía Nacional abre el expediente, pero recuperar el dinero es estadísticamente improbable.

La anatomía del timo: cómo funciona por dentro

El fraude del CEO no es un ataque aleatorio. Quien lo ejecuta ha hecho deberes antes de pulsar enviar.

Primero, recopila información. LinkedIn le dice quién dirige la empresa y quién lleva las cuentas. La web corporativa le da el formato del correo interno. Un par de noticias de prensa le cuentan si hay una fusión en marcha, una ronda de financiación o un contrato nuevo. Con eso tiene guion suficiente.

Segundo, construye la ilusión de autoridad. Registra un dominio parecido al real —con un guion, una letra cambiada, un TLD diferente— o configura un campo Display Name que muestra el nombre del director pero oculta la dirección real. Muchos clientes de correo muestran solo el nombre por defecto. El truco funciona.

Tercero, elige el momento. Los ataques se lanzan los jueves y viernes, antes de un puente, o cuando el director está en un viaje de negocios publicado en redes. El objetivo: que no haya tiempo ni oportunidad de verificar.

Cuarto, mete presión y confidencialidad. Las dos palancas clásicas. Es urgente. No lo comentes con nadie. Confío en ti. Estas tres frases desactivan los mecanismos normales de verificación interna.

Quinto, introduce a un intermediario. El «abogado» o el «asesor financiero» que contacta después es también parte del equipo. Proporciona los datos bancarios de una cuenta mula. El dinero viaja en minutos a otra jurisdicción.

Las señales que delatan el fraude del CEO

1. El dominio no cuadra

Compara el dominio del remitente con el que usáis internamente. Carácter a carácter. empresa.es y empresa-grupo.net son dos cosas distintas. Si recibes un correo supuestamente interno desde un dominio externo, para. No sigas leyendo el contenido hasta resolver esa pregunta.

2. La petición evita los canales normales

En una empresa con procesos mínimos, una transferencia de 34.000 € requiere aprobación doble, un justificante y una orden de pago firmada. Si el correo pide saltarse ese proceso con el argumento de la confidencialidad, es porque el proceso lo habría bloqueado. Esa es exactamente la razón por la que el proceso existe.

3. Urgencia artificial más silencio obligado

La combinación de es para hoy y no lo digas a nadie es la firma característica de este timo. Ningún director legítimo te pide que ocultes una operación al resto del equipo por correo. Si alguien te lo pide así, ese correo es evidencia, no instrucción.

4. El importe está justo por debajo de un umbral interno

Quien diseña el ataque a veces conoce los límites de autorización. Si en tu empresa las transferencias superiores a 50.000 € requieren la firma del consejo, la petición llegará por 47.000 €. Esa precisión no es casualidad.

5. El director está «localizable pero no»

El correo dice que está en reuniones, en un vuelo o en una conferencia. Disponible para mandar instrucciones por escrito, no para coger el teléfono. Eso elimina la verificación verbal, que es el único cortafuegos real.

6. Aparece un tercero que no conoces

El abogado, el asesor, el socio extranjero que te llama con los datos bancarios. Si una persona que no conoces —y que no puedes verificar por canales internos— te proporciona una cuenta bancaria para una transferencia urgente y confidencial, estás en el último paso del timo.

Qué hacer ahora mismo si recibes uno de estos correos

Para. No respondas al correo. No llames al número que aparece en el mensaje.

Llama directamente al director o responsable usando el número de teléfono que ya tienes guardado, no el que aparece en la firma del correo sospechoso. Una llamada de treinta segundos cierra el 100 % de estos fraudes antes de que ocurran.

Si ya has procesado la transferencia, actúa en los siguientes minutos, no en las siguientes horas. Llama a tu banco de inmediato y pide la anulación o el bloqueo de la operación. Los bancos tienen ventanas de actuación muy cortas pero existen. Después, denuncia ante la Policía Nacional o la Guardia Civil con toda la documentación: el correo, los metadatos, la orden de pago y la comunicación con el supuesto tercero. El INCIBE (incibe.es) y la Oficina de Seguridad del Internauta (osi.es) también reciben reportes y pueden orientarte en los pasos siguientes.

Conserva todo. No borres el correo. No reformatees el ordenador. La cadena de evidencia importa para la denuncia.

Decálogo contra el fraude del CEO: diez reglas para no mover ese dinero

  1. Verifica siempre por teléfono. Cualquier transferencia solicitada por correo, sin excepción, se confirma con una llamada al número de siempre. El correo no es canal suficiente para mover dinero.
  2. Lee el dominio completo del remitente. No el nombre que aparece, sino la dirección real. Configura tu cliente de correo para que la muestre por defecto.
  3. Desconfía de la urgencia combinada con el silencio. Esas dos palabras juntas no son una instrucción legítima. Son una alarma.
  4. Aplica el doble control en toda transferencia relevante. Dos personas autorizan, dos personas firman. Si el proceso requiere dos firmas, el fraude necesita engañar a dos personas. Eso lo hace mucho más difícil.
  5. No valides cuentas bancarias por correo ni por teléfono entrante. Si alguien te llama para darte datos bancarios, cuelga y llama tú a la empresa por el número oficial.
  6. Limita lo que publicas sobre viajes y ausencias directivas. LinkedIn y las redes sociales son el manual de instrucciones del atacante. Un post de en ruta hacia Múnich para el congreso es el momento ideal para lanzar el ataque.
  7. Forma a quien gestiona pagos, no solo a quien dirige. El objetivo del timo es siempre la persona con acceso a cuentas. Esa persona necesita saber esto mejor que nadie.
  8. Registra variantes de tu dominio. Si tu empresa se llama constructorasanchez.es, registra también constructora-sanchez.es y constructorasanchez.com. Quita esa herramienta de las manos del atacante.
  9. Si tienes dudas, bloquea antes de preguntar. Nadie en tu empresa debería molestarse porque hayas parado una transferencia para verificarla. Si alguien se molesta, eso también es información relevante.
  10. Denuncia aunque no recuperes el dinero. Cada denuncia construye el expediente que permite a la Policía Nacional y la Guardia Civil mapear las redes detrás de estos fraudes. Callar no te protege. Denunciar ayuda al siguiente.

Veredicto: SCAM. Sin matices, sin excepciones. El fraude del CEO es el timo más rentable del correo corporativo porque explota confianza, jerarquía y prisa. Las tres se neutralizan con un protocolo de doce segundos: leer el dominio, coger el teléfono, no mover el dinero hasta hablar. Eso es todo.

Entrena tu instinto.

La app es gratis. El juego físico, bajo pedido. En ambos, 54 casos reales para entrenar el ojo.

Ver el manual