LEGALAUDIT
Cyber Coach

Fraude financiero

Facturas falsas y BEC: la transferencia desviada

Emails que cambian el IBAN en una factura esperada. La pérdida media por incidente en la UE supera los 50.000 EUR.

9 min de lecturaIntermedio

Señales de alerta a reconocer

  • Cambio de IBAN comunicado por email poco antes del pago
  • Dominio del remitente casi idéntico (proveedor.com vs prove3dor.com)
  • Tono de urgencia: 'paga hoy, el destinatario está esperando'
  • Petición de no llamar 'para evitar controles fiscales'
  • PDF de factura gráficamente idéntico con el IBAN modificado
  • Solicitud inesperada de pago parcial o por adelantado
  • Email que llega poco después de un hilo legítimo, como respuesta en una conversación real
  • Regla de reenvío sospechosa en el buzón de finanzas (señal de account takeover)

Qué hacer ahora

  • Política corporativa: cualquier cambio de IBAN se verifica por teléfono al número que ya tienes en la agenda
  • Doble firma obligatoria en transferencias por encima de un umbral
  • Verifica el SPF/DKIM/DMARC del remitente
  • Audita las reglas de reenvío del buzón: las cuentas comprometidas a menudo ocultan reenvíos
  • Usa herramientas de detección de dominios lookalike para la comparación visual/fonética
  • Si la transferencia ya salió: llama al banco de inmediato para un retiro SWIFT

Caso real

BEC en una pyme textil, Prato 2025

Una pyme textil espera un pago de 92.000 EUR de un cliente francés. Días antes del plazo, las cuentas por cobrar del cliente reciben lo que parece un email del CEO italiano con un PDF de factura actualizado y un nuevo IBAN 'por un cambio de banco'.

El pago va a un IBAN del Reino Unido propiedad de una mula de dinero reclutada en línea. Los delincuentes habían comprometido commerciale@<empresa>.it un mes antes, leído los hilos con el cliente y elegido el momento adecuado. Usaron un dominio lookalike con 'i' en lugar de 'l'.

Mythos analizó la cabecera del email fraudulento: SPF fail, dominio registrado 11 días antes, IP de envío en un VPS asiático. El análisis del PDF mostró que se había generado a partir de la misma plantilla que el PDF real pero con los metadatos de Adobe modificados. El dossier permitió un retiro SWIFT parcial y bloquear el 38% de los fondos.

Qué puede hacer Mythos en este caso

  • Análisis de cabeceras de email con SPF/DKIM/DMARC y cadena Received
  • Detección de dominios lookalike fonéticos/visuales
  • Extracción de metadatos del PDF (autor, software, marca de tiempo, estructura interna)
  • Verificación del IBAN: coincidencia de BIC, banco, país, antigüedad de la cuenta cuando esté disponible
  • Dossier para retiro SWIFT y denuncia penal

Próximos pasos

Analiza la factura y el email con MythosComenta el caso con Mythos