· Jonathan Izquierdo · Noticias seguridad  ·

14 min de lectura

Fraude BEC en PYMEs: oleada de estafas por email en España (2025-2026)

Guardia Civil y Policía Nacional desmantelan redes BEC que estafan millones a empresas españolas. Operaciones recientes, modus operandi y cómo proteger tu PYME.

Guardia Civil y Policía Nacional desmantelan redes BEC que estafan millones a empresas españolas. Operaciones recientes, modus operandi y cómo proteger tu PYME.

2.770 millones de dólares. Eso es lo que las empresas declararon haber perdido por fraude BEC solo en 2024, según el FBI IC3 Annual Report. En España, la situación se ha convertido en emergencia: entre mayo de 2025 y enero de 2026, la Guardia Civil y la Policía Nacional han ejecutado al menos seis grandes operaciones contra redes especializadas en interceptar emails entre empresas, modificar facturas y desviar transferencias. Las cantidades recuperadas —718.000 euros en Sevilla, 2 millones en Marbella, 800.000 en Palma de Mallorca— revelan la magnitud de lo que no se recupera. Y las víctimas principales son siempre las mismas: PYMEs sin protocolos de verificación de pagos.

Como perito informático forense, en los últimos seis meses he analizado más casos de fraude BEC que en todo 2024. Este artículo no es una guía genérica —para eso ya tienes nuestra guía completa de peritaje de email—. Es un mapa de la oleada actual: las operaciones policiales recientes, los importes reales, las técnicas que están usando los atacantes en 2025-2026 y, sobre todo, qué puede hacer tu empresa si recibe una factura sospechosa o ya ha ejecutado una transferencia fraudulenta.

TL;DR - Lo esencial en 60 segundos

Dato claveDetalle
Pérdidas globales BEC 20242.770 millones de dólares (21.442 denuncias), segunda categoría más costosa de cibercrimen según FBI IC3
Operaciones en España (2025-2026)Al menos 6 grandes operaciones policiales contra redes BEC con más de 80 detenidos en total
Importes documentadosDesde 95.000 euros (metalúrgica en Palencia) hasta 5,9 millones (red Black Axe con 34 detenidos)
Método principalMan in the email: interceptación de correos entre proveedor y cliente para modificar datos bancarios en facturas
Víctima típicaPYMEs sin doble verificación de cambios de cuenta bancaria
Tiempo del atacante dentro del emailEntre 2 y 8 semanas monitorizando comunicaciones antes de actuar
Tasa de recuperaciónVariable: entre el 30% y el 80% si se actúa en las primeras 24-48 horas
Qué hacerContactar banco inmediatamente, no borrar emails, denunciar, contratar perito forense

Oleada BEC en España: las operaciones policiales de 2025-2026

Lo que diferencia el periodo 2025-2026 de años anteriores no es solo el volumen de fraudes BEC, sino la intensidad de la respuesta policial. La Guardia Civil y la Policía Nacional han ejecutado operaciones coordinadas en al menos 15 provincias. Estos son los casos más relevantes documentados públicamente.

Operación Crossbank - Cuenca (noviembre 2025)

La Guardia Civil de Cuenca desmanteló una red BEC con 8 detenidos (entre 20 y 50 años) en varias provincias. La investigación comenzó en abril de 2025 tras la denuncia de una empresa de Cuenca que sufrió una transferencia fraudulenta de más de 25.000 euros. Los agentes del Equipo EDITE lograron bloquear cerca de 100.000 euros en cuentas nacionales e internacionales. La red blanqueaba el dinero mediante falsas ofertas de empleo (mulas bancarias). Delitos imputados: estafa informática, blanqueo de capitales, falsedad documental y pertenencia a organización criminal.

Red de 3,5 millones - Granada (diciembre 2025)

Once personas fueron detenidas por mover más de 3,5 millones de euros mediante el método man in the middle, afectando a empresas en España, Italia y Alemania. La investigación se inició tras detectar movimientos anómalos en cuentas bancarias de empresas vinculadas a residentes en una localidad de Granada. En los registros se incautaron 5 vehículos de alta gama (valorados en más de 140.000 euros), se bloquearon 70 cuentas bancarias con aproximadamente 195.000 euros y se intervinieron numerosos equipos informáticos (The Objective, diciembre 2025).

Operación PALCHATARRA - Palencia (diciembre 2025)

Tres identificados por estafar 95.556,50 euros a una empresa metalúrgica de Palencia. El método: suplantación de identidad corporativa vía email para alterar datos bancarios en facturas de pago. La Guardia Civil logró recuperar casi 76.000 euros. Los estafadores intentaron blanquear el dinero mediante transferencias a otros bancos y pagos en agencias de viajes (COPE Palencia, diciembre 2025).

Fraude frustrado de 718.000 euros - Sevilla (septiembre 2025)

La Guardia Civil frustró en Los Palacios (Sevilla) fraudes BEC por valor de 718.000 euros dirigidos a empresas locales (Sevilla Actualidad, septiembre 2025).

Recuperaciones en Marbella - 2 millones (octubre 2025)

Los ciberagentes de la Comisaría de Marbella recuperaron más de 2 millones de euros estafados a una veintena de víctimas mediante ataques man in the middle a correos electrónicos. Un caso destacado: la prevención de un fraude de 1.445.000 euros en la compra de una villa de lujo, donde los atacantes habían interceptado la comunicación entre comprador e inmobiliaria para sustituir los datos bancarios del pago. La cooperación con Interpol y Europol permitió bloquear transferencias destinadas a Portugal y Austria (El Español Málaga, octubre 2025).

Recuperaciones en Baleares - 1 millón (septiembre-octubre 2025)

La Guardia Civil de Baleares recuperó 200.000 euros estafados a una empresa y 800.000 euros en un caso de compra de vivienda donde un ciudadano neerlandés fue víctima del man in the middle durante la adquisición de una casa en Palma. En ambos casos, los atacantes interceptaron emails entre las partes e insertaron datos bancarios alterados (Última Hora Baleares, septiembre-octubre 2025).

Alerta Guardia Civil - enero 2026

La Guardia Civil emitió en enero de 2026 una alerta pública sobre el aumento de casos de fraude BEC dirigidos a empresas españolas, advirtiendo de que los criminales estudian las relaciones comerciales entre empresas durante semanas antes de actuar. La alerta recomienda verificar siempre por teléfono cualquier cambio en datos bancarios de proveedores.

El contexto mayor: Operación Garona y Black Axe

En enero de 2026, la Policía Nacional y Europol desarticularon una célula de la organización criminal Black Axe con 34 detenidos en Sevilla, Madrid, Málaga y Barcelona. Importe total defraudado: 5.937.589 euros. Hemos analizado esta operación en detalle en nuestro artículo dedicado: Operación Garona: 34 detenidos de la red Black Axe por fraude MitM en España.

Cómo funciona el ataque BEC paso a paso

El fraude BEC no es un ataque improvisado. Los atacantes dedican semanas de preparación antes de ejecutar la estafa. Estas son las fases que observo sistemáticamente en los análisis forenses que realizo.

  1. Reconocimiento (semanas 1-3): El atacante identifica a la empresa víctima investigando su web, LinkedIn, proveedores, estructura organizativa y relaciones comerciales. Busca empresas que realizan pagos frecuentes a proveedores internacionales.

  2. Compromiso del email (semana 2-4): El atacante obtiene acceso al correo corporativo mediante phishing dirigido (spear-phishing), credential harvesting o fuerza bruta. A menudo, un único empleado que hace clic en un enlace malicioso es suficiente.

  3. Monitorización silenciosa (semanas 3-8): Una vez dentro, el atacante NO actúa. Lee correos durante semanas para entender el tono de las comunicaciones, los nombres de los proveedores, los ciclos de facturación y quién autoriza los pagos. Crea reglas de reenvío ocultas para recibir copia de los emails relevantes.

  4. Interceptación de factura (día D): Cuando detecta una factura real en curso, el atacante intercepta el email del proveedor al cliente y lo reenvía con los datos bancarios modificados. A veces registra un dominio casi idéntico (por ejemplo, empresa-proveedora.es en lugar de empresaproveedora.es).

  5. Ejecución de la transferencia: La víctima paga la factura “verificada” a la cuenta del atacante. Como el email parece legítimo y la factura es real (solo cambia la cuenta bancaria), la estafa pasa desapercibida.

  6. Blanqueo inmediato: El dinero se mueve en cascada: de la cuenta receptora a mulas bancarias, luego a cuentas en terceros países o se convierte en criptomonedas. En las primeras 24-48 horas, el dinero ya está distribuido en múltiples jurisdicciones.

Variantes del fraude BEC: tabla comparativa

VarianteDescripciónImporte típicoVíctima habitual
Fraude de factura (invoice fraud)Modificación de datos bancarios en facturas reales entre proveedor y cliente20.000-500.000 EURPYMEs con proveedores internacionales
Fraude del CEO (CEO fraud)Suplantación del director/gerente para ordenar transferencia urgente50.000-300.000 EURDepartamentos financieros
Desvío de nóminas (payroll diversion)Suplantación de empleado pidiendo cambio de cuenta bancaria de nómina2.000-10.000 EURDepartamentos de RRHH
Fraude inmobiliarioInterceptación de comunicaciones comprador-vendedor para sustituir cuenta de pago100.000-1.500.000 EURCompradores de vivienda
Fraude de abogado (attorney impersonation)Suplantación de bufete en operaciones mercantiles para urgir pagos30.000-200.000 EUREmpresas en procesos M&A
Robo de datos (data theft)Solicitud de información fiscal, nóminas o datos de empleados haciéndose pasar por directivoDatos personalesDepartamentos de RRHH

Por qué las PYMEs son el objetivo principal

Las grandes empresas invierten en sistemas de detección de anomalías, formación anti-phishing y verificación de pagos multicapa. Las PYMEs, no. Según los datos del INCIBE, el fraude BEC es una de las amenazas más críticas para las pequeñas y medianas empresas españolas, y los factores son sistemáticos:

  • Sin departamento IT dedicado: la inmensa mayoría de microempresas y pequeñas empresas españolas no tienen personal de ciberseguridad.
  • Sin protocolo de doble verificación: los pagos se autorizan por email sin confirmar por teléfono o segundo canal.
  • Sin configuración DMARC: la mayoría de dominios de PYMEs no tienen política DMARC configurada o la tienen en modo p=none (solo monitorización, sin bloqueo).
  • Relación de confianza: en empresas pequeñas, la relación con proveedores es directa y personal; un email “del proveedor de siempre” no genera sospecha.
  • Volumen de operaciones: una PYME que paga 20-30 facturas al mes no examina individualmente los datos bancarios de cada una.

Cómo el análisis forense de email destapa al atacante

Cuando una empresa víctima de BEC me encarga un peritaje, el objetivo es triple: (1) identificar cómo se produjo la intrusión, (2) preservar la evidencia para la denuncia y eventual proceso judicial, y (3) aportar datos técnicos que ayuden a las Fuerzas y Cuerpos de Seguridad a rastrear al atacante.

Lo que revela el análisis forense:

EvidenciaQué muestraDónde se encuentra
Cabeceras del email fraudulentoSi fue enviado desde la cuenta real comprometida o desde un dominio suplantadoCabeceras Received, Authentication-Results, Return-Path
Reglas de reenvío ocultasQue el atacante estaba redirigiendo emails con palabras clave como “factura” o “transferencia” a cuentas externasConfiguración del buzón (Exchange, Google Workspace)
Logs de accesoDirecciones IP desde las que accedió el atacante, geolocalización, horarios anómalosUnified Audit Log (Microsoft 365), Google Workspace Activity Log
Kit de phishing originalCómo se comprometió la contraseña (enlace malicioso, página de login falsa)Análisis del email de phishing inicial + sandbox
Dominio lookalikeSi el atacante registró un dominio similar al del proveedorWHOIS, registros DNS, análisis de cabeceras
Metadatos de la factura alteradaQue la factura fue editada (herramienta de edición, fecha de modificación diferente al original)Metadatos PDF/Office, comparación con factura original

Este análisis es exactamente lo que permitió a la Guardia Civil y la Policía Nacional desarticular las redes que hemos descrito. En la Operación Crossbank, por ejemplo, fue la denuncia de una empresa de Cuenca acompañada de las evidencias digitales la que desencadenó toda la investigación.

Qué hacer si tu empresa ha sido víctima de fraude BEC

  1. Hora 0-2: contacta con tu banco. Solicita la reversión inmediata de la transferencia. Si el dinero aún está en la cuenta receptora, el banco puede bloquearlo. Pasadas 48 horas, la probabilidad de recuperación cae drásticamente. Proporciona al banco el número de referencia de la transferencia, la cuenta destino y la fecha exacta.

  2. Hora 0-4: no toques nada en el email. No borres, no reenvíes, no muevas de carpeta. Cada acción modifica metadatos que son evidencia. Si el email está en un buzón compartido, avisa al equipo de que nadie lo toque.

  3. Hora 0-24: denuncia ante la Policía Nacional o Guardia Civil. Acude con la información de la transferencia, los emails involucrados y cualquier dato del proveedor real. Los Grupos de Delitos Telemáticos y las brigadas de ciberdelincuencia tienen protocolos específicos para BEC que incluyen cooperación bancaria internacional.

  4. Hora 0-48: contrata un perito informático forense. La extracción forense de la evidencia (cabeceras de email, logs de acceso, reglas de reenvío, factura alterada) debe realizarse con metodología ISO 27037 y cadena de custodia documentada. Sin un informe pericial sólido, la evidencia puede ser impugnada en juicio.

  5. Día 1-3: notifica a la AEPD si hay datos personales comprometidos. Si el atacante tuvo acceso al buzón corporativo y este contenía datos personales de terceros, existe obligación de notificación a la AEPD en un plazo máximo de 72 horas según el RGPD (artículo 33).

  6. Día 1-7: cambia credenciales y activa 2FA. Resetea las contraseñas de todas las cuentas de email corporativo, activa la autenticación de dos factores (2FA) y revisa las reglas de reenvío de todos los buzones.

Dato clave sobre recuperación

En los casos documentados en este artículo, las tasas de recuperación oscilan entre el 30% y el 100%, siempre que se actuara en las primeras 24-48 horas. En la Operación PALCHATARRA (Palencia), se recuperaron 76.000 de 95.000 euros (80%). En Marbella, 2 millones de euros completos. La velocidad de reacción es el factor determinante.

NormaArtículoDelitoPena
Código PenalArt. 248Estafa informática (manipulación para transferencia no consentida)6 meses a 3 años de prisión (hasta 6 años si es en banda organizada o importe supera 50.000 EUR)
Código PenalArt. 197Descubrimiento y revelación de secretos (acceso no autorizado a email)1 a 4 años de prisión y multa
Código PenalArt. 301Blanqueo de capitales (mulas bancarias, transferencias en cascada)6 meses a 6 años de prisión
Código PenalArt. 570 bisPertenencia a organización criminal2 a 5 años de prisión (líder: 4 a 8 años)
RGPDArt. 33Obligación de notificación de brecha de datos a la autoridad de controlMulta hasta 10 millones de euros o 2% facturación global
LECArt. 326.2Impugnación de autenticidad de documento electrónicoRequiere cotejo pericial para acreditar autenticidad

En las operaciones que hemos documentado, los detenidos fueron imputados sistemáticamente por estafa agravada continuada, blanqueo de capitales, falsedad documental y pertenencia a organización criminal —un cuadro de delitos que puede suponer penas de hasta 12 años de prisión.

Preguntas frecuentes

1. Mi empresa ha pagado una factura falsa. ¿Puedo recuperar el dinero?

Sí, pero la velocidad es crítica. Contacta con tu banco inmediatamente para solicitar la reversión de la transferencia. Si actúas en las primeras 24-48 horas, la probabilidad de recuperación parcial o total es significativa. En los casos documentados en España en 2025, las Fuerzas y Cuerpos de Seguridad lograron bloquear fondos en múltiples ocasiones. Un perito informático forense puede aportar las evidencias técnicas necesarias para que el banco y las autoridades actúen con mayor rapidez.

2. ¿Cómo puedo saber si los emails de mi empresa están siendo monitorizados?

Los indicadores principales son: reglas de reenvío que no has creado en tu buzón (en Gmail: Configuración, Reenvío; en Outlook: Reglas y alertas), accesos desde ubicaciones geográficas o direcciones IP inusuales en los logs de actividad, cambios de contraseña que no has solicitado, y proveedores que mencionan haber recibido emails tuyos que no enviaste. Un análisis forense del buzón puede detectar accesos no autorizados incluso meses después del compromiso.

3. ¿Qué protocolo de verificación debería implementar mi PYME?

El protocolo mínimo consiste en establecer que cualquier cambio en datos bancarios de un proveedor debe confirmarse por teléfono utilizando el número que ya consta en los registros de la empresa (nunca el que aparece en el email sospechoso). Además: implementa DMARC con política p=reject en tu dominio, activa 2FA en todas las cuentas de correo, y establece un límite de autorización dual para transferencias superiores a 5.000 euros (dos personas deben aprobar el pago).

4. ¿Sirve un informe pericial para reclamar a mi seguro de ciberriesgo?

Sí. Las pólizas de ciberseguro que cubren fraude por ingeniería social requieren documentación técnica del incidente para activar la cobertura. Un informe pericial forense que acredite el compromiso del email, identifique el vector de ataque y cuantifique el daño es exactamente lo que la aseguradora necesita para procesar la reclamación.

Fuentes y referencias

  1. FBI IC3 (2025). “2024 Internet Crime Report”. 21.442 denuncias BEC, 2.770 millones de dólares en pérdidas. ic3.gov
  2. Guardia Civil - Operación Crossbank (noviembre 2025). 8 detenidos por red BEC en Cuenca. enciendecuenca.com
  3. The Objective (diciembre 2025). 11 detenidos por estafar 3,5 millones con man in the middle. theobjective.com
  4. COPE Palencia (diciembre 2025). Operación PALCHATARRA: 95.556 euros estafados a metalúrgica. cope.es
  5. Sevilla Actualidad (septiembre 2025). Guardia Civil frustra fraude BEC de 718.000 euros en Los Palacios. sevillaactualidad.com
  6. El Español Málaga (octubre 2025). Ciberagentes de Marbella recuperan 2 millones de euros de fraude email. elespanol.com
  7. Última Hora Baleares (octubre 2025). 800.000 euros recuperados de fraude man in the middle en compra de vivienda en Palma. ultimahora.es
  8. COPE Ferrol (enero 2026). Guardia Civil alerta sobre aumento de estafas BEC dirigidas a empresas. cope.es
  9. INCIBE (2025). Fraude del CEO: el engaño que puede vaciar la cuenta de tu pyme. incibe.es
  10. Abnormal AI (2025). 2024 FBI IC3 Report: BEC Remains a Multi-Billion Dollar Threat. abnormal.ai
  11. Ministerio del Interior (enero 2026). Desarticulada red criminal Black Axe: 34 detenidos por ciberfraude BEC. interior.gob.es
  12. El Independiente (mayo 2025). Guardia Civil recupera 110.000 euros estafados a empresa naval en Cádiz. elindependiente.com

Artículos relacionados:

Más información

Sobre el autor

Jonathan Izquierdo es perito informático forense especializado en Noticias seguridad con conocimientos en blockchain, criptomonedas, AWS Cloud, desarrollo de software y seguridad. Experiencia tecnológica de más de 20 años al servicio de la justicia digital, liderando equipos de desarrollo de software en ámbitos internacionales.

Ver más sobre mí

Volver al Blog

Posts Relacionados

Ver Todos los Posts »
Jonathan Izquierdo

Jonathan Izquierdo · Perito Forense

+15 años experiencia · AWS Certified

WhatsApp