Estafas bancarias (INTELISOC)

Compromiso de correo (BEC) y pagos

Home / Estafas bancarias (INTELISOC) / Compromiso de correo (BEC) y pagos

Compromiso de correo (BEC) y pagos

El correo manda… al sitio equivocado

En el BEC (Business Email Compromise), los estafadores irrumpen o suplantan la cuenta de correo (del proveedor o de la propia empresa) y alteran IBAN y condiciones de pago. La víctima cree que paga al de siempre; en realidad, envía a una cuenta mule. Aunque el vector es “correo”, el daño se consuma en el circuito bancario.

Caso realista: el “nuevo IBAN” que nadie verificó

A una pyme le llegó una factura legítima… con IBAN cambiado tras un hilo largo de emails “normales”. La empresa ordenó la transferencia “creyendo” cumplir. El banco, ante un beneficiario nuevo de alto importe y país distinto, no aplicó retardo, ni verificación reforzada ni alertas. El dinero salió y se dispersó.

¿Qué puede exigirse al banco?

Aunque el engaño nazca fuera del banco, la PSD2/EBA impone controles en la iniciación del pago:

  • Fricciones para primer envío a un IBAN nuevo (aprobación en app con destinatario/importe visibles, retardos, límites).
  • Monitorización de importes y países (listas, tipologías, “primera vez”).
  • Alertas útiles y posibilidad de bloqueo inmediato.

Si el banco no acredita haber aplicado controles proporcionales al riesgo del cambio de cuenta (señal clásica del BEC), su responsabilidad se abre a discusión civil.

Ciberinvestigación que ordena el caos

INTELISOC:

  • Reconstruye la línea temporal de emails (cabeceras, dominios, SPF/DKIM),
  • Mapea el momento exacto del cambio de IBAN y la orden de pago,
  • Exige logs bancarios (alta de beneficiario, aprobaciones, IP/dispositivo, mensajes),
  • Conecta con estándares EBA para pagos a beneficiarios nuevos y transfronterizos.

Demostramos si el banco debía elevar fricciones o retener por sospecha.

Jurisprudencia

Hay resoluciones que han compartido responsabilidad o han impuesto reintegros cuando las entidades no acreditaron mecanismos razonables ante un patrón conocido de fraude (nuevo IBAN para proveedor habitual + importe elevado).

Prevención para empresas

  • Validación fuera del email ante cada cambio de IBAN.
  • Doble aprobación interna con límite y retardo.
  • Listas de beneficiarios de confianza y alertas.

Conclusión

El BEC empieza en el correo, pero termina en el banco. Si no hubo controles al añadir un beneficiario nuevo de riesgo, existe base para reclamar. INTELISOC aporta la prueba técnica que necesitas.

¿Te ha pasado algo parecido? Nuestro equipo de ciberinvestigación puede analizar tu caso y preparar un informe que refuerce la devolución.

Contactar con INTELISOC

Artículos relacionados