La estafa consiste en suplantar la identidad de una empresa para desviar pagos de facturas a cuentas controladas por ciberdelincuentes En los emails fraudulentos se solicita la urgencia en el pago de la factura pendiente a un nuevo número de cuenta bancaria
2 de enero de 2026.- La Guardia Civil alerta a empresas, autónomos y entidades públicas, sobre la comisión de estafas conocidas como Business Email Compromise (BEC), un fraude sofisticado cuyo objetivo es la desviación de pagos legítimos de facturas a cuentas bancarias controladas por ciberdelincuentes. El fraude BEC se basa en la suplantación de identidad digital de empresas, proveedores o directivos.
Los delincuentes logran engañar a la víctima para que realice una transferencia económica creyendo que se trata de una operación legítima dentro de la relación comercial habitual que guardan con la sociedad a la que debe efectuar el pago de una factura.
Los ciberdelincuentes comienzan obteniendo información interna de las empresas a través de correos electrónicos fraudulentos (phising), accesos no autorizados a cuentas de email, filtraciones de datos o mediante el análisis de información pública.
De este modo, consiguen conocer las relaciones comerciales existentes entre dos sociedades, sus facturas pendientes de pago y los canales de comunicación reales por los que habitualmente establecen las pautas de liquidación.
Posteriormente, el estafador envía correos electrónicos a la empresa objeto de estafa, muy similares a los auténticos (incluyendo emblemas y logos de la propia sociedad, con la que mantiene relación comercial), en los que solicitan el pago urgente de una factura pendiente o informan de un supuesto cambio en el número de cuenta bancaria del proveedor.
Para reforzar la credibilidad del engaño, en muchos casos, incluyen un número de teléfono para resolver dudas, pero éste también está controlado por los ciberdelincuentes.
Una vez realizada la transferencia, el dinero es enviado a cuentas bancarias utilizadas por organizaciones criminales, no percatándose la empresa perjudicada de este hecho hasta que no le comunica el proveedor que la factura aún está pendiente de pago.
Consejos de prevención
La Guardia Civil recomienda adoptar las siguientes medidas para evitar ser víctima de esta estafa:
- Verificar SIEMPRE por una segunda vía de comunicación cualquier cambio de número de cuenta bancaria (llamada telefónica a un número conocido o incluso, contactar presencialmente si es posible)
- Desconfiar de emails que apelen a la urgencia, confidencialidad o presión temporal
- Revisar cuidadosamente la dirección del remitente, incluso cuando el mensaje aparezca como legítimo
- Establecer unos protocolos internos de verificación ANTES de autorizar pagos o transferencias
- Formar y concienciar al personal de la empresa sobre ciberseguridad y fraudes digitales
- ¿Qué hacer ante una sospecha?
Ante cualquier indicio de estafa o si se ha realizado un pago fraudulento, es fundamental contactar de inmediato con la entidad bancaria y denunciar los hechos ante la Guardia Civil, lo que puede resultar clave para bloquear operaciones y minimizar los daños.
La Guardia Civil de Zaragoza alerta sobre las estafas mediante el método “Business Email Compromise” (BEC)
