El correo de 85.000 euros
La directora financiera de una empresa familiar de 18 empleados recibió un correo de su consejero delegado un martes por la mañana. El asunto decía: “Transferencia urgente — confidencial”. El mensaje explicaba que había una operación sensible en curso, que no lo comentara con nadie, y que transfiriera 85.000 euros a una cuenta bancaria que, aparentemente, ya había sido preparada.
Ella hizo la transferencia. ¿El problema? El consejero delegado estaba de vacaciones en las Islas Canarias y no había enviado ningún correo.
Esto es el fraude BEC (Business Email Compromise), conocido también como “fraude del CEO”. Y no es una excepción: es el ataque financiero a empresas que crece más rápido en Europa. Según datos del FBI, las pérdidas acumuladas por BEC desde 2013 superan los 55.000 millones de dólares a escala mundial. En España, el fraude medio por ataque BEC en 2025 fue de 62.000 euros, y el 70% de las organizaciones ha recibido al menos un intento de ataque.
La pregunta no es si te va a pasar. Es si tu equipo sabrá reconocerlo cuando llegue.
Qué es el fraude BEC y cómo funciona realmente
El fraude por correo electrónico empresarial (Business Email Compromise) es una modalidad de estafa en la que los atacantes imitan figuras de autoridad dentro de la empresa —el CEO, el director financiero, un socio o un proveedor de confianza— para conseguir transferencias económicas no autorizadas o acceso a información sensible.
A diferencia del phishing tradicional —que lanza una red amplia esperando que alguien caiga— el BEC es un ataque dirigido y personalizado. Los delincuentes investigan la empresa previamente: consultan LinkedIn para saber quién autoriza pagos, analizan patrones de ausencias del directivo (vacaciones anunciadas, congresos, viajes) y, a veces, acceden realmente a cuentas de correo comprometidas para aprender el tono y los hábitos de la víctima.
Las tres variantes más habituales en pymes
1. Fraude del CEO El atacante envía un correo que aparenta ser del máximo responsable de la empresa pidiendo una transferencia urgente y confidencial. Suele llegar cuando el “CEO” está ausente y el receptor es alguien del departamento financiero o de administración.
2. Fraude de proveedor (o cambio de cuenta) Un proveedor habitual envía un correo —aparentemente legítimo— informando de que han cambiado sus datos bancarios. Las próximas facturas deben pagarse a la nueva cuenta. En muchos casos, los atacantes han comprometido la cuenta de correo real del proveedor, lo que hace la trampa casi imposible de detectar sin protocolos de verificación.
3. Fraude del abogado o del consultor externo Los delincuentes se hacen pasar por un abogado o asesor externo que trabaja en una operación confidencial (compraventa, due diligence, refinanciación). Piden discreción absoluta y una transferencia inmediata.
El factor IA: cuando el correo es indistinguible del real
Lo que ha cambiado radicalmente en los últimos dos años es la calidad lingüística de los ataques. Hasta 2022, muchos correos fraudulentos se podían detectar por errores ortográficos, traducciones extrañas o expresiones poco naturales. Hoy, el 40% de los correos BEC se generan con IA generativa (Hoxhunt, 2024), lo que los hace prácticamente indistinguibles de un correo legítimo.
Además, la IA permite personalizar los ataques a gran escala: adaptar el mensaje al sector, al tono habitual del CEO, a los proyectos actuales de la empresa o incluso a conversaciones previas capturadas de una cuenta comprometida. El resultado es un correo que parece enviado por alguien que te conoce bien.
Cómo impacta el fraude BEC en las pymes españolas
Muchos empresarios creen que el BEC es un riesgo para grandes corporaciones, no para pymes de 10 a 50 empleados. Es exactamente al revés.
Las pymes son el blanco preferido por una razón sencilla: suelen tener menos controles internos que las grandes empresas. No hay un departamento de ciberseguridad, los procesos de autorización de pagos a menudo dependen de una o dos personas, y la cultura de “aquí nos conocemos todos” hace que un correo aparentemente interno genere menos suspicacia que en una corporación.
Según el INCIBE —el Instituto Nacional de Ciberseguridad de España—, en 2025 se registraron 122.223 incidentes de ciberseguridad en todo el país, un 26% más que el año anterior. El 43% de estos ataques afectaron a pymes. El coste medio de un incidente para empresas con menos de 50 trabajadores se sitúa entre los 35.000 y los 80.000 euros, incluyendo el coste de la recuperación y la interrupción operativa.
Un caso cercano: la factura que no era del proveedor
Una empresa de servicios B2B con 12 empleados y 2,2 M€ de facturación recibió, a finales de 2025, una factura aparentemente enviada por uno de sus proveedores de software. La factura era idéntica en formato, encabezado y logotipo a las anteriores. La única diferencia: la cuenta bancaria había cambiado.
La persona de administración —que conocía al proveedor de años— pagó sin verificar. Los 68.000 euros llegaron a la cuenta del atacante. El proveedor real no sabía nada; su sistema de correo había sido comprometido semanas antes.
El fraude se descubrió cuando el proveedor reclamó el pago pendiente. Para entonces ya era demasiado tarde: la transferencia era irrecuperable.
Con un protocolo sencillo —una llamada de dos minutos para verificar el cambio de cuenta— este fraude no habría ocurrido.
Los errores que hacen a las pymes especialmente vulnerables
Sin doble autorización para transferencias importantes
La mayoría de pymes no tienen un protocolo formal de autorización para transferencias a partir de cierto importe. Una persona recibe la instrucción y la ejecuta. Establecer un circuito de doble validación —dos personas deben autorizar cualquier transferencia superior a 5.000 o 10.000 euros— es una medida sencilla que neutraliza el 90% de los ataques BEC con coste cero.
Sin verificación telefónica de cambios de cuenta bancaria
Cualquier correo que informe de un cambio de datos bancarios de un proveedor debe activar un protocolo fijo: llamar al número de teléfono habitual del proveedor (¡no al que figura en el correo!) para confirmar el cambio. Sin excepción, sin prisas. Ninguna urgencia justifica saltarse este paso.
Demasiada información pública en LinkedIn
Los atacantes investigan. Saben quién es el director financiero, quién le asiste, cuándo el CEO está de viaje y qué proyectos tiene la empresa entre manos —todo leyendo perfiles públicos de LinkedIn y la web corporativa. Reducir la información sensible expuesta públicamente dificulta la fase de preparación del ataque y reduce el riesgo.
Ceder a la urgencia y la confidencialidad
El fraude BEC siempre utiliza dos elementos psicológicos: la urgencia (“hay que hacerlo hoy”) y la confidencialidad (“no lo comentes con nadie”). Cuando un correo combina las dos cosas, es una señal de alarma. Ninguna operación corporativa legítima requiere que te saltes los controles internos. Si alguien te pide que no consultes la instrucción con ningún compañero, es el momento exacto de consultarlo con alguien.
Cinco medidas concretas para proteger tu pyme
-
Protocolo de doble autorización: ninguna transferencia por encima de un umbral definido (5.000-10.000 € recomendado) sin la validación de dos personas por canales separados.
-
Verificación telefónica de cambios bancarios: política escrita que establezca que cualquier cambio de cuenta de un proveedor requiere confirmación telefónica al número habitual del proveedor, nunca al que figura en el correo recibido.
-
Canales alternativos para instrucciones urgentes: si recibes una instrucción financiera sensible por correo, confírmala por un segundo canal (Teams, teléfono, presencialmente). El correo nunca debe ser el único canal de autorización para movimientos de dinero.
-
Revisión semestral de la exposición digital: realiza una revisión semestral de la información publicada por la empresa y los empleados del departamento financiero. Reduce el organigrama visible al mínimo necesario.
-
Formación básica del equipo: una sesión anual de una hora sobre cómo reconocer un ataque BEC puede ser la inversión de ciberseguridad con mejor retorno para una pyme. El INCIBE ofrece recursos gratuitos a través de su plataforma «Protege tu empresa».
Conclusión: el protocolo es el antídoto
El fraude BEC no es un problema tecnológico — es un problema de procesos y cultura interna. Ninguna inversión en antivirus o firewalls protege contra un correo fraudulento creíble que recibe una persona que no sabe que debe desconfiar.
La buena noticia: los controles necesarios para prevenir el 90% de los ataques BEC no cuestan dinero. Cuestan protocolo.
Tus próximos pasos:
- Esta semana: define un umbral de importe a partir del cual se requiere doble validación. Escríbelo y comunícalo al equipo
- Este mes: establece por escrito el protocolo de verificación telefónica para cambios de cuenta bancaria de proveedores
- Este trimestre: organiza una sesión de una hora con el equipo financiero y de administración para reconocer las variantes del fraude BEC
¿Quieres revisar los riesgos financieros operativos de tu empresa y qué controles deberías tener implementados? Contáctame para una primera conversación de 30 minutos sin compromiso.
Fuentes: INCIBE, Informe de Ciberseguridad España 2025 (febrero 2026); Hoxhunt, Business Email Compromise Statistics 2026; FBI, Internet Crime Report 2024.