FraudeDigital // expediente: invoice-fraud clase: guía profesional · finanzas + seguridad
Capa Financiera · Fraude a Proveedores

Fraude de Factura Falsa: el error que cuesta millones

Para profesionales: cómo los estafadores suplantan proveedores y modifican IBAN para desviar pagos. Para equipos financieros: controles de proceso y segregación de funciones.

Miguel Ángel Carriazo 18 junio 2026 4 min de lectura
← Volver al Panel de Control
01 // Para profesionales Finanzas · Control Interno

¿Qué es el fraude de factura falsa y cómo funciona?

El fraude de factura falsa (Invoice Fraud o Business Email Compromise) es un ataque donde los estafadores suplantan a un proveedor de confianza para modificar los datos bancarios y desviar pagos legítimos a cuentas controladas por ellos.

Es uno de los fraudes más costosos para las empresas, con pérdidas que pueden superar el millón de euros en un solo pago. Afecta tanto a PYMEs como a grandes corporaciones.

📌 Ejemplo real de lo que le puede pasar a tu empresa:

Tu equipo de finanzas recibe un correo de "Proveedor X" (un proveedor habitual) avisando de que han cambiado su cuenta bancaria por "problemas técnicos" y adjuntan una nueva factura con el nuevo IBAN. El correo parece legítimo: tiene el logo, la firma, el tono del proveedor... El pago de 150.000€ se envía a la cuenta del estafador.

¿Cómo se detecta? 3 señales de alarma:

  • Cambio de IBAN sin aviso previo por canales alternativos (llamada de voz, carta física).
  • Urgencia injustificada: "Si no pagas hoy, perderemos el pedido". Esa urgencia es la presión para saltarse controles.
  • El correo viene de un dominio similar pero no idéntico: proveedor-seguro.com vs proveedor-seguro.top.
✅ Regla de oro para tu empresa: Nunca se modifica un IBAN sin verificación en doble canal. El cambio debe confirmarse por teléfono (llamando al número oficial del proveedor) y por correo desde el dominio oficial.
02 // Para profesionales Respuesta a Incidentes

Y si ya hemos pagado a la cuenta equivocada... ¿qué hacemos?

Si has realizado un pago a una cuenta fraudulenta, actúa en minutos, no en horas. Cada minuto cuenta.

  1. Contacta inmediatamente con tu banco y solicita la anulación o bloqueo de la transferencia. Los bancos tienen un plazo para detener operaciones.
  2. Presenta una denuncia en la Policía Nacional o Guardia Civil con todos los datos: correo, IBAN fraudulento, importe, proveedor afectado.
  3. Notifica al proveedor real de lo ocurrido para coordinar la investigación.
  4. Revisa tus procesos internos para identificar dónde falló el control y corregirlo de inmediato.

Y recuerda: la prevención es más barata que la respuesta. Invierte en controles de proceso antes de que ocurra.

⚙️ A PARTIR DE AQUÍ · PARA EQUIPOS DE FINANZAS Y SEGURIDAD ⚙️
03 // Para técnicos BEC · OSINT · Suplantación

Análisis técnico del Invoice Fraud

El Invoice Fraud es una variante del Business Email Compromise (BEC) que combina técnicas de ingeniería social, OSINT y suplantación de identidad.

🔹 Fase de reconocimiento (OSINT)

El atacante investiga en LinkedIn y webs corporativas para identificar proveedores, relaciones comerciales, volúmenes de pago y responsables de finanzas.

🔹 Suplantación de correo

El atacante registra un dominio similar al del proveedor (proveedor-seguro.top) o compromete la cuenta de correo del proveedor para enviar la solicitud desde una fuente aparentemente legítima.

🔹 Modificación de IBAN

El correo incluye una factura modificada con un IBAN controlado por el atacante. El empleado de finanzas, confiando en el proveedor y la urgencia del mensaje, autoriza el pago sin verificar.

Clave: El atacante no necesita saltar controles técnicos. Explota la confianza y la urgencia para que el empleado autorice el pago voluntariamente.

04 // Para técnicos Segregación · Doble Canal · Multifirma

Controles de proceso y hardening operativo

La defensa contra el Invoice Fraud se basa en diseñar procesos financieros resistentes a la manipulación, no solo en tecnología.

🔹 Segregación de funciones (SoD)

Ninguna persona debe poder crear, validar y autorizar un pago a un proveedor. La modificación de IBAN debe requerir dos aprobaciones de personas diferentes.

🔹 Política de doble canal

Toda solicitud de cambio de IBAN debe ser confirmada por dos canales independientes: correo + llamada telefónica (al número oficial del proveedor, no al que aparece en el correo).

🔹 Verificación de dominios

Formar al personal de finanzas para verificar siempre el dominio completo del remitente antes de actuar sobre una solicitud de pago o cambio de datos bancarios.

Resumen: El Invoice Fraud explota la confianza y los procesos débiles. La defensa se basa en segregación de funciones, verificación en doble canal y formación continua del personal financiero.

Sobre el autor
Miguel Ángel Carriazo · vCISO

vCISO · Arquitecto de Soluciones de Infraestructura y Ciberseguridad | Gobierno, Riesgo y Cumplimiento (GRC) | Gobierno de IA · ISO 42001 | Fundador de FraudeDigital.es

Compartir artículo