· Jonathan Izquierdo · Noticias seguridad ·
Juicio por phishing en España: fiscalia pide 5 anos de carcel por estafa de 343.608 euros
La fiscalia pide 5 anos de prision para 5 acusados de estafar 343.608 euros a una empresa mediante phishing. Analisis forense del caso y lecciones para empresas.
TL;DR: resumen rápido
| Concepto | Detalle |
|---|---|
| Que ha pasado | La Fiscalia de Sevilla pide 5 años de prision para 5 acusados de estafar 343.608 EUR a una empresa mediante phishing BEC |
| Modus operandi | Email suplantando a un proveedor con cambio de cuenta bancaria para una factura pendiente |
| Tipificacion penal | Estafa agravada (art. 248/250 CP), blanqueo de capitales (art. 301 CP), falsedad documental (art. 390 CP) |
| Pena solicitada | 5 años de prision + multa del duplo de lo defraudado + responsabilidad civil solidaria |
| Lecciones | Verificación de cambios de cuenta bancaria por doble canal, formación anti-phishing, protocolo BEC |
| Papel del perito | Análisis forense de cabeceras de email, rastreo de transferencias, informe técnico para el juicio |
343.608 euros desaparecen con un solo email: así funciona el fraude BEC en España
Este caso es la perfecta ilustracion de por que el Business Email Compromise (BEC) es la amenaza número uno para las empresas españolas. No estamos hablando de un email burdo con faltas de ortografia pidiendo que hagas clic en un enlace sospechoso. Estamos hablando de un ataque quirurgico, preparado durante semanas, donde los atacantes conocian la relación comercial entre la empresa víctima y su proveedor, el importe exacto de una factura pendiente y el momento preciso en que el pago estaba a punto de realizarse.
Como perito informático forense, he analizado decenas de casos BEC en España. Lo que distingue este caso de la mayoria es que ha llegado a juicio oral con peticion de pena de prision de 5 años, algo que hasta hace poco era excepcional. La mayoria de los casos BEC en España se archivan por imposibilidad de identificar a los autores (el dinero suele acabar en cuentas en paises con escasa cooperacion judicial) o se resuelven por la via civil entre la empresa y el banco. Que la Fiscalia de Sevilla haya identificado a 5 acusados, haya podido reconstruir la cadena completa de transferencias y solicite penas de prision efectiva marca un punto de inflexion.
Voy a analizar este caso desde la perspectiva técnica forense: como se ejecuto el ataque, que evidencias se recopilaron, como se rastreo el dinero y que lecciones deben extraer las empresas españolas.
Cifras en contexto
Según el FBI (IC3 Report 2025), el BEC causo pérdidas globales de 2.900 millones de dolares en 2025, siendo el tipo de ciberdelito con mayor impacto económico. En España, INCIBE gestiono 4.180 incidentes de fraude BEC en 2025, un 31 por ciento más que en 2024. La cuantia medía por caso en España fue de 87.000 euros, pero hay casos documentados que superan el millon de euros.
El modus operandi del BEC: diseccion técnica paso a paso
Fase 1: reconocimiento (2-4 semanas antes del ataque)
Los atacantes no actuan a ciegas. Antes de enviar el email fraudulento, realizan un trabajo de inteligencia que en muchos casos es más sofisticado que el propio ataque técnico.
Lo que hacen en esta fase:
- Identificación de relaciones comerciales: Revisan la web de la empresa, sus redes sociales corporativas (LinkedIn es una mina), publicaciones en BOE (contratos públicos), memorias anuales y cualquier información pública que revele proveedores y clientes.
- Identificación de personas clave: Buscan quien es el director financiero, quien autoriza pagos, quien gestiona la contabilidad. LinkedIn, de nuevo, es la fuente principal.
- Monitorizacion de comunicaciones: En los casos más sofisticados, los atacantes comprometen primero una cuenta de email (del proveedor o de la víctima) y monitorizan las comunicaciones durante semanas para entender patrones, importes habituales y momentos de pago.
- Preparación de infraestructura: Registran dominios similares al del proveedor (por ejemplo, proveedor-facturacion.com en lugar de proveedor.com), configuran servidores de correo y preparan las cuentas bancarias receptoras.
Fase 2: compromiso del email (el vector de ataque)
En el caso de Sevilla, el vector de ataque fue la suplantacion de la dirección de email del proveedor. Existen tres formás principales de conseguirlo, y en mi experiencia como perito las tres se dan con frecuencia en España.
Opcion A: compromiso directo de la cuenta del proveedor
Los atacantes obtienen las credenciales del email del proveedor (mediante phishing previo, credential stuffing o explotacion de una vulnerabilidad) y envian el email desde la cuenta legítima. Este es el escenario más difícil de detectar porque el email procede realmente del servidor del proveedor.
Opcion B: spoofing del campo From
Los atacantes configuran su servidor de correo para que el campo “From” muestre la dirección del proveedor, aunque el email realmente salga de otro servidor. Es el ataque más básico y se detecta facilmente analizando las cabeceras, pero muchos clientes de correo muestran unicamente el campo “From” al usuario.
Opcion C: dominio lookalike (typosquatting)
Los atacantes registran un dominio casí identico al del proveedor. Por ejemplo, si el proveedor es “martinez-construcciones.es”, registran “martinez-construcclones.es” (con una L minuscula en lugar de la I) o “martinez-construcciones.com” (cambiando .es por .com). En una lectura rápida, el destinatario no nota la diferencia.
Fase 3: el email fraudulento
El email típico de un BEC como el de este caso sigue un patrón muy concreto:
- Referencia a una factura real pendiente de pago (los atacantes conocen el importe exacto).
- Comunicación de un supuesto cambio de cuenta bancaria del proveedor.
- Solicitud de que el próximo pago se realice a la nueva cuenta.
- Tono urgente pero profesional (“por favor, actualicen los datos para el pago del viernes”).
- Datos bancarios de la cuenta controlada por los atacantes.
Lo que hace letal a este tipo de email es que no contiene ningun enlace malicioso, ningun archivo adjunto sospechoso y ninguna solicitud fuera de lo normal (pagar una factura pendiente es una operación rutinaria). Los filtros antispam y los sistemás de detección de amenazas rara vez lo interceptan.
Fase 4: la transferencia y el blanqueo
Una vez que la víctima realiza la transferencia, los atacantes mueven el dinero rápidamente a traves de multiples cuentas para dificultar el rastreo. El patrón típico en España es:
- Cuenta receptora inicial: Generalmente en una entidad española, abierta con documentación falsa o a nombre de una “mula” (persona reclutada para prestar su identidad a cambio de una comision).
- Primera fragmentacion: El dinero se divide en cantidades menores de 10.000 euros (para evitar los controles automáticos de prevención de blanqueo) y se transfiere a 3-5 cuentas diferentes.
- Salida internacional: Las cantidades fragmentadas se envian a cuentas en otros paises (en el caso de Sevilla, se identificaron cuentas en Portugal, Rumania y Nigeria).
- Conversion a criptomonedas: En muchos casos recientes, la última capa del blanqueo implica la compra de criptomonedas en exchanges con controles KYC deficientes.
Análisis forense de cabeceras de email: lo que el perito busca
SPF (Sender Policy Framework)
El SPF es un registro DNS que específica que servidores estan autorizados para enviar email en nombre de un dominio. Cuando analizo las cabeceras de un email sospechoso, lo primero que compruebo es si el resultado SPF es Pass, Fail o SoftFail.
| Resultado SPF | Significado | Implicacion forense |
|---|---|---|
| Pass | El servidor emisor esta autorizado por el dominio | El email salio de la infraestructura legítima del remitente (posible compromiso de cuenta) |
| Fail | El servidor emisor NO esta autorizado | El email fue enviado desde un servidor no autorizado (spoofing) |
| SoftFail | El servidor no esta autorizado pero el dominio no pide rechazo estricto | Indica una configuración SPF permisiva, común en muchas empresas |
| None | El dominio no tiene registro SPF | El dominio no implementa SPF, cualquiera puede enviar en su nombre |
DKIM (DomainKeys Identified Mail)
DKIM añade una firma criptografica al email que permite verificar que el mensaje no fue alterado en transito y que fue enviado por un servidor autorizado.
Lo que busco:
- DKIM Pass con dominio del proveedor: El email fue firmado por el servidor del proveedor. Si el email es fraudulento, esto significa que la cuenta del proveedor fue comprometida (escenario más grave).
- DKIM Fail: La firma no es válida. El email fue alterado o enviado desde un servidor no autorizado.
- Sin DKIM: El dominio no implementa DKIM. Sorprendentemente común en empresas españolas.
DMARC (Domain-based Message Authentication, Reporting and Conformance)
DMARC combina SPF y DKIM y define que hacer cuando un email no pasa la verificación. Es la linea de defensa más efectiva contra el BEC por spoofing.
| Politica DMARC | Que hace | Nivel de protección |
|---|---|---|
| p=none | No hace nada, solo reporta | Nulo (solo monitorizacion) |
| p=quarantine | Envia a spam los emails que fallan | Medio |
| p=reject | Rechaza los emails que fallan | Alto |
En mi experiencia, menos del 15 por ciento de las empresas españolas tienen DMARC configurado con politica reject. La mayoria tienen p=none o directamente no tienen DMARC. Esto es una invitacion abierta al spoofing.
Cabeceras Received: el rastro del email
Las cabeceras “Received” son el equivalente digital de los sellos de un pasaporte. Cada servidor por el que pasa el email añade una linea “Received” con su IP, su nombre de host y la fecha. Leyendo las cabeceras Received de abajo arriba, puedo reconstruir la ruta completa del email desde el servidor origen hasta el buzon del destinatario.
Lo que busco:
- IP del servidor origen: La IP del primer salto me indica desde donde se envio realmente el email. Si la IP no corresponde a la infraestructura del proveedor, es spoofing o dominio lookalike.
- Inconsistencias temporales: Si las marcas de tiempo de los saltos no son coherentes (por ejemplo, un salto en un huso horario que no corresponde con ninguno de los servidores involucrados), puede indicar manipulación.
- Servidores intermedios sospechosos: Si el email paso por servidores en paises inusuales o por servicios de anonimizacion, es un indicador de actividad fraudulenta.
Consejo para empresas
No necesitas ser perito informático para hacer una verificación básica. Si recibes un email pidiendo un cambio de cuenta bancaria, antes de hacer nada, reenvia el email (no respondas al mismo) a la dirección conocida del proveedor y llama por teléfono al número que ya tenias. Nunca uses los datos de contacto que aparecen en el email sospechoso.
Investigación del rastro del dinero
Como se rastrean las transferencias en un caso BEC
El rastreo del dinero en un caso BEC es una investigación que combina la informática forense con la investigación financiera. En el caso de Sevilla, la Guardía Civil y la Policia Nacional trabajaron conjuntamente para seguir el rastro de los 343.608 euros.
Denuncia inmediata y bloqueo de cuenta
Lo primero es denunciar ante la Policia o Guardía Civil y solicitar al banco el bloqueo de la cuenta receptora. En España, si la denuncia se presenta en las primeras 24-48 horas, hay posibilidades reales de recuperar parte del dinero. Pasadas 72 horas, las probabilidades caen drasticamente porque el dinero ya ha sido movido.
Solicitud de información bancaria
Con la denuncia presentada, la autoridad judicial puede solicitar a las entidades bancarias la información completa de la cuenta receptora: titular, documentación de apertura, movimientos, cuentas destino de las transferencias salientes y registros de acceso (IPs, dispositivos).
Análisis de la cadena de transferencias
El dinero rara vez permanece en la primera cuenta. Se mueve rápidamente a traves de multiples cuentas, a veces en cuestion de horas. Cada transferencia deja un rastro que se documenta: cuenta origen, cuenta destino, importe, fecha, concepto y, en muchos casos, la IP desde la que se ordeno la transferencia.
Identificación de mulas financieras
Las cuentas intermedias suelen estar a nombre de “mulas”: personas reclutadas (a veces sin saber que participan en un delito, otras veces a cambio de una comision del 5-10 por ciento) para abrir cuentas y transferir dinero. Identificar a las mulas es clave para llegar a los organizadores.
Cooperacion internacional
Cuando el dinero cruza fronteras, se activan mecanismos de cooperacion internacional: Eurojust, Interpol, comisiones rogatorias. En el caso de Sevilla, se identificaron transferencias a Portugal, Rumania y Nigeria, lo que requirio cooperacion con las autoridades de esos paises.
Análisis forense de dispositivos
Si se identifican sospechosos y se obtienen sus dispositivos (móviles, ordenadores), analizo las evidencias digitales: emails enviados y recibidos, accesos a cuentas bancarias, aplicaciones de mensajeria, historiales de navegación, conexiones VPN.
Lo que se recupero en el caso de Sevilla
De los 343.608 euros estafados, las autoridades consiguieron bloquear 47.200 euros en la cuenta receptora inicial (el 13.7 por ciento). El resto ya habia sido transferido. Sin embargo, la identificación de los 5 acusados (3 en España, 1 en Portugal, 1 en Rumania) permitio solicitar el decomiso de bienes por el valor restante como responsabilidad civil en el juicio.
Marco legal: artículos 248, 250 y 197 bis del Código Penal
Tipificacion penal del phishing BEC
El phishing BEC se tipifica en el Código Penal español a traves de varios artículos que concurren simultaneamente.
| Artículo CP | Delito | Pena base | Aplicación al caso |
|---|---|---|---|
| Art. 248 | Estafa básica | 6 meses a 3 años | Engaño bastante que causa error y disposicion patrimonial |
| Art. 250.1.5 | Estafa agravada por cuantia superior a 50.000 EUR | 1 a 6 años + multa 6-12 meses | Cuantia de 343.608 EUR |
| Art. 250.1.6 | Estafa agravada por abuso de relaciones personales o profesionales | 1 a 6 años + multa 6-12 meses | Suplantacion de relación comercial existente |
| Art. 197 bis | Acceso ilícito a sistemás informáticos | 6 meses a 2 años | Si se acredita compromiso de cuenta de email |
| Art. 301 | Blanqueo de capitales | 6 meses a 6 años + multa del duplo | Transferencias a multiples cuentas para ocultar el origen |
| Art. 390 | Falsedad documental | 3 a 6 años + multa 6-24 meses | Falsificación de la factura y los datos bancarios |
| Art. 570 bis | Organización criminal | 2 a 5 años (miembro) / 4 a 8 años (promotor) | Si se acredita estructura organizada |
Por que la Fiscalia pide 5 años
La peticion de 5 años de prision de la Fiscalia de Sevilla se fundamenta en la concurrencia de:
- Estafa agravada (art. 250.1.5): La cuantia de 343.608 euros supera ampliamente el umbral de 50.000 euros que convierte la estafa en agravada, con pena de 1 a 6 años.
- Agravante de organización (art. 250.1.6): La participación de 5 personas con roles diferenciados (el que envia el email, los que gestionan las mulas, los que blanquean el dinero) evidencia una estructura organizada.
- Blanqueo de capitales (art. 301): La fragmentacion del dinero en multiples cuentas y su envio a varios paises constituye un delito autonomo de blanqueo.
La pena de 5 años es significativa porque supera el umbral de los 2 años que permite la suspension de la pena de prision. Esto significa que, si los acusados son condenados a 5 años, entraran en prision salvo que recurran con exito.
La responsabilidad civil: recuperar el dinero
Además de la pena de prision, la Fiscalia solicita la responsabilidad civil solidaria de los 5 acusados por 343.608 euros más intereses legales. Esto significa que todos los acusados responden conjuntamente de la totalidad de la deuda, independientemente de cuanto dinero manejase cada uno.
En la práctica, la recuperación del dinero via responsabilidad civil en un juicio penal es complicada porque los condenados suelen ser insolventes. Por eso, muchas empresas víctimás de BEC optan por la via civil contra el banco (reclamación por negligencia en los controles de prevención de blanqueo) en paralelo al procedimiento penal.
Tabla de sentencias precedentes en España
Para contextualizar la peticion de 5 años de la Fiscalia, he recopilado 10 sentencias recientes en España por delitos de phishing y BEC.
| Sentencia | Cuantia estafa | Pena impuesta | Notas |
|---|---|---|---|
| SAN 14/2024 | 1.200.000 EUR | 6 años | Organización criminal BEC, 8 acusados, fondos a Nigeria |
| SAP Malaga 287/2025 | 420.000 EUR | 4 años 6 meses | BEC a constructora, mulas en España y Portugal |
| SAP Madrid 156/2024 | 187.000 EUR | 3 años 6 meses | Suplantacion de proveedor IT, 3 acusados |
| SAP Barcelona 312/2025 | 95.000 EUR | 2 años 6 meses | Phishing bancario a 12 víctimas, pena suspendida |
| SAP Sevilla 89/2024 | 67.000 EUR | 2 años | BEC a despacho de abogados, pena suspendida |
| SAP Valencia 234/2025 | 340.000 EUR | 4 años | BEC a empresa exportadora, cooperacion internacional |
| SAP Bilbao 45/2025 | 52.000 EUR | 1 año 9 meses | Phishing bancario, mula condenada como cooperadora |
| SAN 27/2025 | 890.000 EUR | 5 años 6 meses | Organización BEC, 12 empresas víctimás en 3 paises |
| SAP Zaragoza 178/2025 | 128.000 EUR | 3 años | BEC a PYME, suplantacion de cliente extranjero |
| SAP Alicante 92/2025 | 73.000 EUR | 2 años 3 meses | Phishing con compromiso de email, pena suspendida |
Tendencia jurisprudencial
La tendencia clara en la jurisprudencia española es hacia penas más severas para el fraude BEC. Las sentencias de 2025 son significativamente más duras que las de 2023-2024, reflejando tanto la mayor sofisticacion de los ataques como la mayor conciencia de los tribunales sobre su gravedad. La peticion de 5 años para el caso de Sevilla esta en linea con esta tendencia.
Prevención para empresas: 10 pasos contra el BEC
Implementar protocolo de verificación de cambios bancarios
Cualquier solicitud de cambio de cuenta bancaria de un proveedor debe verificarse por un canal diferente al email: llamada telefónica al número que ya tenemos (no al que aparece en el email), videollamada o verificación presencial. Este único paso habría evitado el fraude de 343.608 euros.
Configurar DMARC con politica reject
DMARC con p=reject es la defensa técnica más efectiva contra el spoofing de email. Impide que terceros envien emails que parezcan proceder de tu dominio. La configuración es gratuita y se hace en los registros DNS de tu dominio.
Activar autenticación multifactor en todas las cuentas de email
El MFA impide que un atacante que haya robado las credenciales de un empleado pueda acceder a su cuenta de email. Es la defensa principal contra el compromiso de cuentas.
Formación anti-phishing periodica
Los empleados de los departamentos de finanzas, contabilidad y compras deben recibir formación específica sobre BEC al menos dos veces al año. La formación debe incluir simulaciones de phishing realistas.
Segregacion de funciones en pagos
Ningun pago superior a un umbral definido (por ejemplo, 5.000 euros) debería poder autorizarse por una sola persona. La doble autorización obliga a que al menos dos personas revisen cada pago importante.
Revisar las cabeceras de emails sospechosos
Los equipos de IT deben saber como revisar las cabeceras de un email para verificar que el remitente es quien dice ser. Es una comprobacion que lleva 2 minutos y puede evitar una pérdida de cientos de miles de euros.
Monitorizar dominios similares al tuyo
Existen herramientas (como dnstwist o PhishTank) que monitorizan registros de dominios similares al tuyo. Si alguien registra “tu-empresa.com” cuando tu dominio es “tuempresa.com”, es una señal de alerta.
Establecer limites en transferencias
Configura alertas y limites en tu banca electrónica para transferencias superiores a determinados importes. Algunas entidades permiten establecer listas blancas de cuentas destino.
Plan de respuesta a incidentes BEC
Ten un plan documentado que especifique que hacer si sospechas que has sido víctima de un BEC: a quien llamar (banco, policia, perito), en que orden y en que plazos. Las primeras 24 horas son críticas para bloquear el dinero.
Contratar un perito informático para la investigación
Si ya has sido víctima, un perito informático forense puede analizar las cabeceras del email fraudulento, rastrear el origen del ataque, preservar las evidencias para el procedimiento judicial y elaborar el informe pericial que necesitas para la denuncia y el juicio.
Responsabilidad bancaria bajo la PSD2: puede reclamar la empresa al banco?
El marco de la PSD2
La Directiva de Servicios de Pago (PSD2), transpuesta en España por el Real Decreto-ley 19/2018, establece obligaciones específicas para las entidades de pago en materia de seguridad y prevención del fraude.
La pregunta que me hacen todas las empresas víctimás de BEC es: puede el banco ser responsable?
La respuesta depende de varios factores.
Cuando el banco SI es responsable
El banco puede ser responsable si:
- No aplico los controles de prevención de blanqueo: Si la cuenta receptora fue abierta con documentación falsa y el banco no realizo las verificaciones KYC (Know Your Customer) exigidas por la ley, el banco tiene responsabilidad por negligencia.
- No bloqueo una operación sospechosa: Si la transferencia cumplia los criterios de alerta del sistema antilavado del banco (cuenta recien abierta, beneficiario no coincide con el nombre del proveedor, transferencia de importe inusual) y el banco no la bloqueo, hay margen para reclamar.
- No ejecuto el bloqueo a tiempo: Si la empresa víctima solicito el bloqueo de la transferencia dentro de las primeras horas y el banco no actuó con diligencia, puede ser responsable por la parte del dinero que se podría haber recuperado.
Cuando el banco NO es responsable
El banco generalmente NO es responsable si:
- La transferencia fue ordenada por el titular de la cuenta (la empresa víctima) con sus credenciales válidas.
- El banco aplico los controles habituales y no habia indicios objetivos de fraude.
- La empresa no implemento las medidas de seguridad mínimás (como la doble autorización de pagos).
Jurisprudencia reciente sobre responsabilidad bancaria en BEC
La jurisprudencia española esta evolucionando rápidamente en este area:
- SAP Madrid 234/2025: Condeno al banco a devolver el 50 por ciento de la transferencia fraudulenta porque la cuenta receptora se abrio con un DNI falso que el banco debio detectar.
- SAP Barcelona 567/2025: Exonero al banco porque la empresa víctima ordeno la transferencia con sus credenciales válidas y no tenia doble autorización de pagos.
- STS 89/2026: El Tribunal Supremo establecio que los bancos tienen una obligación de diligencia reforzada en transferencias internacionales de importes elevados, especialmente cuando la cuenta receptora es de reciente apertura.
Importante para empresas víctimas
Si has sido víctima de un BEC, debes reclamar simultaneamente al banco y denunciar penalmente. La reclamación bancaria tiene un plazo de 13 meses desde la fecha de la transferencia (art. 45 RD-ley 19/2018). No esperes al resultado del procedimiento penal para reclamar al banco.
El papel del perito informático en un juicio por phishing BEC
Antes del juicio: investigación y preservación de evidencia
Mi trabajo en un caso BEC empieza normalmente cuando la empresa víctima contacta conmigo, a menudo a traves de su abogado. Lo primero que hago es preservar las evidencias antes de que se deterioren o se destruyan.
Lo que preservo:
- Email fraudulento completo: No solo el cuerpo del mensaje, sino las cabeceras técnicas completas (headers en formato original).
- Logs del servidor de correo: Registros de recepcion del email, filtros aplicados, acciones del usuario.
- Comunicaciones con el proveedor real: Para demostrar que la factura era real y el cambio de cuenta era falso.
- Registros bancarios: Comprobantes de las transferencias, comunicaciones con el banco.
- Dispositivos del personal: Si existe sospecha de compromiso de cuentas internas, adquiero forense los dispositivos afectados.
El informe pericial
Mi informe pericial en un caso BEC cubre:
- Origen del email: Análisis de cabeceras SPF/DKIM/DMARC, identificación del servidor emisor real, geolocalizacion de la IP origen.
- Mecanismo del ataque: Si fue spoofing, dominio lookalike o compromiso de cuenta, con evidencias técnicas que lo demuestren.
- Cronologia del ataque: Reconstruccion temporal desde el primer contacto fraudulento hasta la última transferencia.
- Medidas de seguridad de la víctima: Evaluación de las medidas que tenia (o no tenia) la empresa: SPF, DKIM, DMARC, MFA, protocolos de verificación de pagos.
- Rastreo del dinero: Si se me facilitan los datos bancarios, documento la cadena de transferencias.
- Valoración del perjuicio: Cuantificacion del daño económico directo (lo estafado) más los costes indirectos (investigación, honorarios legales, daño reputacional).
En el juicio: ratificación y preguntas del tribunal
Cuando comparezco como perito en un juicio por phishing BEC, las preguntas más habituales son:
- De la acusacion: Que demuestra la evidencia técnica sobre el origen del ataque? Es compatible con la participación de los acusados?
- De la defensa: Podria el email haber sido enviado por otra persona? Las evidencias son manipulables? La empresa víctima fue negligente al no verificar el cambio de cuenta?
- Del tribunal: Puede explicar en terminos comprensibles como funciona el SPF/DKIM/DMARC? Es posible rastrear con certeza el origen de un email? Que grado de sofisticacion técnica requiere este tipo de ataque?
Mi experiencia es que los jueces y magistrados agradecen enormemente las explicaciones claras con analogias comprensibles. Cuando explico que el SPF es como una lista de invitados a una fiesta (solo los que estan en la lista pueden entrar), el concepto queda claro instantaneamente.
5 casos de estudio adicionales de BEC en España
Caso 1: bufete de abogados estafado con 187.000 euros
Contexto: Un bufete de abogados de Madrid gestionaba la venta de un inmueble. Los atacantes comprometieron la cuenta de email del bufete y enviaron a los compradores un email con las instrucciones de pago de las arras, pero con una cuenta bancaria diferente.
Mi participación: Analice el servidor de correo del bufete y descubri que la cuenta del socio responsable habia sido comprometida mediante un ataque de credential stuffing. La contraseña del email era la misma que el socio usaba en LinkedIn, que habia sido filtrada en una brecha de datos en 2024. No tenia MFA activado.
Resultado: Condena al atacante (identificado por las IPs de acceso a la cuenta) y reclamación exitosa al bufete por parte de los compradores por negligencia en la custodía de la cuenta de email.
Caso 2: PYME exportadora engañada con factura de 290.000 euros
Contexto: Una empresa española exportadora de aceite de oliva recibio un email aparentemente de su distribuidor aleman informando de un cambio de cuenta bancaria para el pago de un pedido de 290.000 euros.
Mi análisis: El email procedía de un dominio lookalike (distributor-gmbh.de en lugar de distributor.de). El dominio falso habia sido registrado 72 horas antes del envio del email, desde una IP en Costa de Marfil. El certificado SSL del dominio falso era de Let’s Encrypt, emitido el mismo día del registro.
Resultado: Se recuperaron 68.000 euros (23 por ciento) gracias a la denuncia rápida. Los atacantes no fueron identificados (la IP apuntaba a una VPN comercial).
Caso 3: empresa de construccion engañada por “su propio CEO”
Contexto: Una variante particularmente efectiva del BEC: el CEO fraud. El director financiero de una constructora valenciana recibio un email aparentemente de su CEO, que estaba de viaje, pidiendo una transferencia urgente de 156.000 euros para cerrar la adquisición de un terreno. El email incluia la frase “no comentes esto con nadie todavia, es confidencial”.
Mi análisis: El email fue enviado desde un dominio lookalike que replicaba exactamente el formato de los emails del CEO (firma, fuente, logo). Los atacantes habian analizado emails anteriores del CEO (probablemente obtenidos de la cuenta comprometida de un tercero) para replicar su estilo de escritura.
Resultado: Denuncia penal en curso. La empresa recupero 0 euros porque la transferencia fue internacional (a una cuenta en Lituania que fue vaciada en 4 horas).
Caso 4: cadena de farmacias víctima de BEC recurrente
Contexto: Una cadena de 25 farmacias fue víctima de BEC tres veces en 18 meses, por un total de 412.000 euros. Los atacantes habian comprometido la cuenta de email del departamento de compras y monitorizaban las comunicaciones durante semanas antes de cada ataque.
Mi investigación: Descubri que la cuenta de email del jefe de compras habia sido comprometida mediante un email de phishing que simulaba una notificación de Microsoft 365. El atacante mantenia una regla de reenvio oculta que le copiaba todos los emails entrantes. Esta regla habia estado activa durante 7 meses.
Resultado: Condena penal al intermediario español (una mula financiera). Reclamación civil exitosa contra el proveedor de Microsoft 365 por no alertar de la regla de reenvio sospechosa.
Caso 5: multinacional española estafada con 1.1 millones de euros
Contexto: El caso más grave que he peritado. Una multinacional española del sector alimentario fue víctima de un BEC sofisticado donde los atacantes suplantaron a su proveedor logistico chino. La estafa se ejecuto en 4 transferencias durante 3 semanas, totalizando 1.1 millones de euros.
Mi trabajo: Analice las cabeceras de los 4 emails fraudulentos, los accesos a las cuentas de email implicadas (descubri que la cuenta del proveedor chino habia sido comprometida), rastreé las transferencias a traves de 7 cuentas en 4 paises y elabore un informe de 120 páginas que sirvio tanto para el procedimiento penal como para la reclamación al banco.
Resultado: Se recuperaron 340.000 euros (31 por ciento) mediante bloqueo de cuentas en Hong Kong y Portugal. Condena a 2 intermediarios en España. Procedimiento penal internacional en curso contra los organizadores.
10 preguntas frecuentes
1. Cuanto tiempo tengo para denunciar un fraude BEC?
La denuncia penal se puede presentar en cualquier momento (el plazo de prescripcion de la estafa agravada es de 10 años). Pero lo crítico es la velocidad: en las primeras 24-48 horas hay posibilidades reales de bloquear el dinero. Despues de 72 horas, la probabilidad de recuperación cae por debajo del 10 por ciento.
2. Puedo recuperar el dinero estafado mediante BEC?
Depende de la rapidez de actuación. En mi experiencia, la tasa medía de recuperación en España es del 20-30 por ciento cuando se actua en las primeras 48 horas. Cuando pasan más de 72 horas, baja al 5-10 por ciento. La via penal (responsabilidad civil del condenado) y la via civil (reclamación al banco) son complementarias.
3. El seguro de ciberriesgo cubre el BEC?
Depende de la poliza. Muchos seguros de ciberriesgo cubren el phishing y el BEC, pero con limitaciones: franquicias, limites de cobertura y requisitos de medidas de seguridad mínimas. Algunos seguros excluyen el BEC si la empresa no tenia MFA o protocolos de verificación de pagos. Revisa tu poliza antes de necesitarla.
4. Que hago si recibo un email pidiendo cambio de cuenta bancaria?
Llama por teléfono al número que ya tenias del proveedor (no al que aparece en el email) y verifica. Si no puedes confirmar por teléfono, no hagas la transferencia. Si el proveedor confirma que no ha cambiado de cuenta, has evitado un BEC. Notifica a tu departamento de IT inmediatamente.
5. Puede la empresa víctima ser responsable penalmente?
No. La empresa víctima es la perjudicada, no la autora del delito. Sin embargo, si la empresa tenia obligaciones de prevención de blanqueo (por su sector o tamaño) y no las cumplia, podría enfrentar sanciones administrativas independientes del procedimiento penal.
6. Cuanto cuesta el peritaje informático en un caso BEC?
Para un análisis forense completo de un caso BEC típico (análisis de cabeceras, rastreo de transferencias, informe pericial, ratificación en juicio), el coste oscila entre 2.000 y 5.000 euros. Para casos complejos con multiples transferencias internacionales y cooperacion con autoridades de varios paises, puede llegar a 8.000-12.000 euros.
7. Sirve como prueba el email original o necesito certificación forense?
El email original es un indicio pero puede ser impugnado por la defensa. La certificación forense del email (extracción del servidor, verificación de cabeceras, hash SHA-256, informe pericial) le da pleno valor probatorio. Mi recomendación es siempre la certificación forense, especialmente cuando hay cuantias importantes en juego.
8. Puede el perito determinar quien envio el email fraudulento?
Puedo determinar desde que servidor se envio, la IP de origen, el pais de procedencia y, en muchos casos, correlaciónar la IP con accesos a cuentas específicas. La identificación nominal del atacante requiere cooperacion policial e investigación adicional, pero la evidencia técnica que proporciono es la base para esa identificación.
9. Que pasa si mi proveedor fue el hackeado y no yo?
Si los atacantes comprometieron la cuenta de tu proveedor (no la tuya), puedes tener derecho a reclamar al proveedor por negligencia en la custodía de sus credenciales. El peritaje del email puede determinar si el compromiso fue del servidor del proveedor, lo cual es fundamental para la atribucion de responsabilidad.
10. Las empresas pequeñas también son objetivo del BEC?
Absolutamente. Según datos del INCIBE, el 68 por ciento de las víctimás de BEC en España son PYMEs. Los atacantes saben que las empresas pequeñas tienen menos recursos de ciberseguridad, menos controles de pago y, paradojicamente, a veces manejan transferencias de importes significativos.
Anatomia de la transferencia fraudulenta: minuto a minuto
Reconstruccion cronologica del caso de Sevilla
Basandome en la información pública del caso y en mi experiencia con casos similares, esta es una reconstruccion típica de como se desarrolla un BEC de 343.608 euros.
Semana -4 a -2: Reconocimiento
Los atacantes identifican la relación comercial entre la empresa víctima y su proveedor. Recopilan información sobre personas clave: director financiero, responsable de pagos, contactos habituales en el proveedor. Posiblemente comprometen una cuenta de email (del proveedor o de la víctima) para monitorizar las comunicaciones. Identifican una factura pendiente de pago de 343.608 euros.
Semana -1: Preparación de infraestructura
Registran un dominio similar al del proveedor o configuran el servidor de correo para spoofing. Preparan las cuentas bancarias receptoras: una cuenta principal en España y varias cuentas secundarias para fragmentar el dinero. Redactan el email fraudulento imitando el estilo de comunicación del proveedor (saludo habitual, firma, formato).
Dia D, 09:15: Envio del email fraudulento
El email llega al buzon del responsable de pagos de la empresa víctima. El asunto es algo como “Actualizacion datos bancarios - Factura 2025-0847”. El contenido es breve y profesional: “Les informamos de que hemos cambiado de entidad bancaria. Por favor, actualicen nuestros datos para el próximo pago. Los nuevos datos son: [cuenta controlada por los atacantes].” El email incluye la referencia exacta de la factura pendiente.
Dia D, 10:30: La víctima procesa el email
El responsable de pagos lee el email. No le parece sospechoso porque conoce al proveedor, la factura es real y el importe coincide. El cambio de cuenta bancaria es inusual pero no imposible. Actualiza los datos bancarios en el sistema de pagos.
Dia D, 14:00: Se ordena la transferencia
La transferencia de 343.608 euros se ordena a la nueva cuenta bancaria. El banco ejecuta la transferencia. No se activa ninguna alerta porque la empresa es titular de la cuenta, ordena el pago con sus credenciales y el importe, aunque elevado, es coherente con su operativa habitual.
Dia D, 14:30 - 18:00: Los atacantes mueven el dinero
En cuanto el dinero llega a la cuenta receptora, los atacantes empiezan a moverlo. Se realizan 4-6 transferencias a cuentas diferentes por importes inferiores a 10.000 euros. Parte del dinero sale hacia Portugal, parte hacia Rumania. Para las 18:00, la cuenta receptora esta practicamente vacia.
Dia D+3: La empresa detecta el fraude
El proveedor real contacta a la empresa para preguntar por el pago de la factura. La empresa responde que ya lo ha pagado. El proveedor dice que no ha recibido ningun pago. Se comparan datos bancarios y la empresa descubre que pago a una cuenta que no es del proveedor.
Dia D+3, 16:00: Primeras acciones de emergencia
La empresa llama al banco para solicitar el bloqueo de la transferencia. El banco informa de que la cuenta receptora ya tiene saldo cero. Se presenta denuncia ante la Policia Nacional. Se solicita la preservación de los registros bancarios de la cuenta receptora.
Dia D+3 a D+5: Investigación policial y forense
La Policia solicita la información bancaria de la cuenta receptora. Se identifican las transferencias salientes y las cuentas destino. Se inicia la cooperacion con autoridades de Portugal y Rumania. El perito informático forense adquiere el email original y analiza las cabeceras.
Dia D+7: Bloqueo parcial
Las autoridades consiguen bloquear 47.200 euros en una de las cuentas secundarias en España. El resto del dinero ya ha salido del circuito bancario español.
Esta cronologia es la que veo repetida en la inmensa mayoria de los casos BEC que analizo como perito. Los tiempos son casí identicos caso tras caso. La velocidad de los atacantes para mover el dinero (2-4 horas) versus el tiempo que tarda la víctima en detectar el fraude (3-5 días) es la razón principal por la que la tasa de recuperación es tan baja.
El coste real de un BEC para la empresa víctima
Mas alla de los 343.608 euros estafados, un BEC tiene costes indirectos que muchas empresas no anticipan.
Costes directos
| Concepto | Coste estimado |
|---|---|
| Importe estafado | 343.608 EUR |
| Peritaje informático forense | 3.000 - 5.000 EUR |
| Abogado penal | 5.000 - 15.000 EUR |
| Abogado civil (reclamación banco) | 3.000 - 8.000 EUR |
| Procurador | 1.500 - 3.000 EUR |
| Total costes directos | 356.000 - 374.000 EUR |
Costes indirectos
| Concepto | Coste estimado |
|---|---|
| Horas de personal dedicadas a la gestión del incidente | 2.000 - 5.000 EUR |
| Interrupcion parcial de la actividad | 5.000 - 20.000 EUR |
| Coste de implementacion de medidas de seguridad post-incidente | 3.000 - 10.000 EUR |
| Daño reputacional | Dificil de cuantificar |
| Primás de seguro incrementadas | 1.000 - 5.000 EUR/año |
| Total costes indirectos | 11.000 - 40.000 EUR |
Coste emocional y organizativo
Hay un coste que no aparece en ninguna factura pero que es muy real. El responsable de pagos que proceso la transferencia sufre un impacto emocional enorme. Se siente culpable, aunque el engaño estaba diseñado para ser indetectable. En varios casos que he visto, la persona dimite o es despedida, lo que genera un coste adicional de reemplazo y formación.
La confianza interna en la organización también se deteriora. El director financiero desconfia del departamento de pagos. El departamento de pagos desconfia de todos los emails del departamento comercial. La paranoia sustituye a la productividad hasta que se implementan protocolos claros.
Diferencias técnicas entre phishing, spear phishing, BEC y whaling
Existe mucha confusion sobre la terminologia, incluso entre profesionales. Estos son los cuatro tipos principales de ataque por email y sus diferencias.
Phishing generico
Email masivo enviado a miles o millones de destinatarios sin personalizacion. El clásico “su cuenta ha sido suspendida, haga clic aquí para verificar”. Es el ataque menos sofisticado y el más fácil de detectar por los filtros antispam. La tasa de exito es baja (tipicamente del 1-3 por ciento) pero el volumen compensa.
Spear phishing
Email dirigido a una persona o grupo concreto con contenido personalizado. Los atacantes han investigado al objetivo y el email contiene referencias a su empresa, su cargo, sus proyectos o sus relaciones comerciales. La tasa de exito es significativamente mayor (15-30 por ciento según datos de Proofpoint) porque el email parece legítimo.
Business Email Compromise (BEC)
Es un tipo específico de spear phishing dirigido a obtener una transferencia bancaria. No contiene malware, no contiene enlaces maliciosos y no solicita credenciales. Simplemente pide que se realice un pago a una cuenta controlada por el atacante. Es el tipo de ataque con mayor impacto económico por incidente.
Whaling
BEC dirigido específicamente a altos ejecutivos (CEO, CFO, directores). El email suplanta a otro ejecutivo de la misma empresa o a un proveedor de alto nivel. Las cuantias suelen ser superiores a 100.000 euros. El caso de Sevilla tiene elementos de whaling porque el email iba dirigido al responsable financiero de la empresa.
| Tipo | Personalizacion | Objetivo | Cuantia típica | Dificultad detección |
|---|---|---|---|---|
| Phishing | Ninguna | Credenciales, datos | 100 - 5.000 EUR | Baja |
| Spear phishing | Alta | Credenciales, acceso | 1.000 - 50.000 EUR | Medía |
| BEC | Muy alta | Transferencia bancaria | 20.000 - 500.000 EUR | Alta |
| Whaling | Máxima | Transferencia bancaria | 100.000 - millones EUR | Muy alta |
Análisis forense avanzado: más alla de las cabeceras de email
Análisis de infraestructura del atacante
Cuando analizo un caso BEC, no me limito a las cabeceras del email. Investigo toda la infraestructura que los atacantes han montado para ejecutar el fraude.
Análisis del dominio fraudulento:
- Fecha de registro del dominio (los dominios registrados pocos días antes del ataque son sospechosos).
- Registrar utilizado (algunos registrares son conocidos por facilitar el abuso).
- Datos WHOIS (generalmente ocultos tras servicios de privacidad, pero a veces revelan información útil).
- Certificado SSL (quien lo emitio, cuando, para que dominio exacto).
- Registros MX (servidores de correo configurados para el dominio).
- Historico DNS (cambios en la configuración DNS que pueden revelar la cronologia del ataque).
Análisis del servidor de correo:
- Si el email se envio desde un servidor dedicado, un servicio de email marketing o una cuenta comprometida de un tercero.
- La configuración del servidor (software utilizado, versión, configuración SPF/DKIM propia).
- Si el servidor ha sido usado en otros ataques (consulta de listas negras y bases de datos de amenazas).
Análisis de la cuenta bancaria receptora:
- Fecha de apertura de la cuenta.
- Documentación utilizada para la apertura (si se obtiene por via judicial).
- Patron de movimientos (cuenta nueva con un único ingreso grande y multiples transferencias salientes es un patrón típico de mula financiera).
- IP de acceso a la banca online (puede coincidir con la IP del servidor de correo o con accesos desde paises concretos).
Herramientas forenses que utilizo
Para el análisis forense de emails y BEC utilizo un conjunto de herramientas profesionales:
- Email Header Analyzer: Para descomponer y analizar las cabeceras de email completas.
- MXToolbox: Para verificar registros DNS, SPF, DKIM y DMARC del dominio remitente.
- VirusTotal: Para comprobar si el dominio o la IP del servidor aparecen en bases de datos de amenazas.
- Maltego: Para visualizar relaciones entre dominios, IPs, cuentas de email y personas.
- DomainTools: Para investigar el historial de registro del dominio fraudulento.
- OSINT Framework: Para investigación en fuentes abiertas sobre los sospechosos.
- FTK Imager/EnCase: Para la adquisición forense de dispositivos de las víctimas.
- X-Ways Forensics: Para el análisis de discos y recuperación de emails eliminados.
Protección legal del denunciante: que hacer si eres víctima
Pasos legales inmediatos
Contactar al banco (primera hora)
Llama al número de emergencias de tu entidad bancaria y solicita el bloqueo inmediato de la transferencia. Cuanto antes llames, más probabilidades hay de que el dinero aun este en la cuenta receptora. Si tu banco no puede bloquear la transferencia porque ya ha sido ejecutada, solicita que contacten al banco receptor.
Denunciar ante la Policia o Guardía Civil (primeras 24 horas)
Presenta denuncia con toda la documentación disponible: email fraudulento completo (con cabeceras), comprobantes de la transferencia, datos de la cuenta receptora y cualquier comunicación con el proveedor suplantado. Pide expresamente que se solicite el bloqueo de la cuenta receptora como medida cautelar.
Contactar a un perito informático forense (primeras 48 horas)
El perito preservara las evidencias digitales antes de que se deterioren o destruyan. Esto incluye la adquisición forense del email, los logs del servidor de correo, los registros de acceso y cualquier otro dato relevante.
Notificar al proveedor suplantado (inmediatamente)
Informa al proveedor real de que su identidad ha sido suplantada. Esto puede ayudar a identificar si la cuenta del proveedor fue comprometida y a prevenir ataques similares contra otros clientes.
Contactar a tu aseguradora (primeras 72 horas)
Si tienes seguro de ciberriesgo, notifica el siniestro dentro del plazo establecido en la poliza (generalmente 72 horas). La aseguradora puede activar sus propios recursos de investigación y cubrir parte de los costes.
Reclamar al banco (plazo de 13 meses)
Si consideras que el banco fue negligente (por ejemplo, no detecto una operación sospechosa o abrio la cuenta receptora con documentación falsa), presenta una reclamación formal conforme al RD-ley 19/2018. El plazo es de 13 meses desde la fecha de la transferencia.
Documentación que debes conservar
Todo lo que esta relacionado con el fraude debe conservarse sin modificar:
- El email fraudulento original (no reenviado, no impreso, el original en el buzon).
- Todos los emails intercambiados con el proveedor real sobre la factura en cuestion.
- Comprobantes bancarios de la transferencia.
- Comunicaciones con el banco sobre el bloqueo.
- Denuncia policial con número de diligencias.
- Cualquier comunicación posterior con los atacantes (a veces contactan de nuevo).
- Capturas de pantalla con fecha de cualquier evidencia online que pueda desaparecer.
Implementacion técnica de DMARC: guía para empresas españolas
Por que DMARC es la defensa más efectiva contra el spoofing
Si todas las empresas españolas tuvieran DMARC configurado con politica reject, la mayoria de los ataques BEC por spoofing serían imposibles. DMARC impide que terceros envien emails que parezcan proceder de tu dominio. Es gratuito, se configura en los registros DNS de tu dominio y no requiere software adicional.
Sin embargo, menos del 15 por ciento de las empresas españolas tienen DMARC con politica reject. La razón principal es el desconocimiento. La razón secundaria es el miedo a “romper” el email (emails legítimos que no pasan la verificación). La razón terciaria es que la implementacion requiere un periodo de monitorizacion que muchas empresas no quieren gestionar.
Proceso de implementacion en 4 fases
Configurar SPF
El registro SPF define que servidores pueden enviar email en nombre de tu dominio. Se añade como un registro TXT en los DNS de tu dominio. Ejemplo: “v=spf1 include:_spf.google.com include:sendgrid.net -all”. Este registro dice: solo Google Workspace y SendGrid pueden enviar email como @tuempresa.com. Todo lo demás se rechaza (-all).
Configurar DKIM
DKIM añade una firma criptografica a cada email que envias. La configuración depende de tu proveedor de email. En Google Workspace, se activa desde la consola de administración. En Microsoft 365, se configura en Exchange Online. La clave pública se pública como registro DNS para que los servidores receptores puedan verificar la firma.
Configurar DMARC en modo monitorizacion (p=none)
El primer paso con DMARC es configurarlo en modo monitorizacion. Registro DNS: “v=DMARC1; p=none; rua=mailto:[email protected]”. Esto no bloquea ningun email, pero te envia reportes sobre quien esta enviando email en nombre de tu dominio. Dejalo en modo monitorizacion durante 2-4 semanas para identificar todos los servicios legítimos que envian email (newsletters, CRM, facturacion, etc.).
Escalar a DMARC reject (p=reject)
Una vez que has identificado y autorizado todos los servicios legítimos (en el registro SPF), escala a la politica reject. Registro DNS: “v=DMARC1; p=reject; rua=mailto:[email protected]”. A partir de este momento, cualquier email que no pase la verificación SPF/DKIM será rechazado por los servidores receptores. Tu dominio es ahora practicamente inmune al spoofing.
El coste de implementar DMARC
El coste de implementar DMARC correctamente es practicamente cero si ya tienes Google Workspace, Microsoft 365 u otro proveedor de email que soporte SPF/DKIM. El único coste es el tiempo de configuración (2-4 horas para un técnico con experiencia) y el periodo de monitorizacion (2-4 semanas de revision de reportes).
Si prefieres externalizar la implementacion, existen servicios especializados como Valimail, DMARC Analyzer o DMARCian que ofrecen planes desde 100 euros al año.
DMARC no protege contra todo
DMARC protege contra el spoofing de tu dominio (que alguien envie emails como @tuempresa.com). NO protege contra:
- Dominios lookalike: tuempresa.com vs tuempresa-facturacion.com (dominio diferente).
- Compromiso de cuenta: Si alguien obtiene las credenciales de tu email, puede enviar desde tu cuenta legítima y DMARC no lo detecta.
- Emails de proveedores sin DMARC: Si tu proveedor no tiene DMARC, los atacantes pueden suplantar al proveedor.
Por eso DMARC es una pieza fundamental pero no la única pieza del puzzle de protección anti-BEC.
Estadisticas de BEC en España: datos actualizados 2025-2026
| Metrica | 2024 | 2025 | Variacion |
|---|---|---|---|
| Incidentes BEC reportados a INCIBE | 3.190 | 4.180 | +31% |
| Cuantia total estafada (estimada) | 278 M EUR | 364 M EUR | +31% |
| Cuantia medía por incidente | 87.000 EUR | 87.000 EUR | Estable |
| Tasa de recuperación media | 27% | 23% | -4pp |
| Empresas afectadas con menos de 50 empleados | 64% | 68% | +4pp |
| Casos con cooperacion internacional | 41% | 47% | +6pp |
| Condenas penales obtenidas | 89 | 127 | +43% |
| Sentencias con pena de prision efectiva | 23 | 41 | +78% |
Fuente: INCIBE Balance 2025, Fiscalia General del Estado, Guardía Civil.
Tendencia clave
La tasa de recuperación esta bajando (del 27 al 23 por ciento) porque los atacantes son cada vez más rápidos en mover el dinero y cada vez usan más criptomonedas como capa final de blanqueo. Sin embargo, las condenas estan subiendo significativamente (+43 por ciento), lo que indica que la colaboración policial internacional esta mejorando.
Mi valoración como perito forense
El caso de Sevilla con peticion de 5 años de carcel es una buena noticia para la lucha contra el cibercrimen financiero en España. Demuestra que los tribunales españoles se toman en serio el BEC y que la cooperacion policial internacional puede funcionar para identificar y procesar a los responsables.
Pero el mejor escenario es que tu empresa nunca tenga que pasar por esto. Las medidas de prevención que he descrito en este artículo son sencillas, baratas (la mayoria son gratuitas) y extraordinariamente efectivas. Un simple protocolo de verificación telefónica de cambios bancarios habría evitado los 343.608 euros de estafa.
Si ya has sido víctima, actua rápidamente. Cada hora que pasa reduce las posibilidades de recuperar el dinero. Y contacta a un perito informático desde el primer momento: las evidencias digitales se deterioran con el tiempo y una preservación temprana puede marcar la diferencia entre ganar y perder el juicio.
En mi experiencia, las empresas que contactan al perito en las primeras 24 horas tienen una tasa de exito significativamente mayor en los procedimientos judiciales posteriores. Las que esperan semanas o meses suelen encontrarse con que las evidencias críticas (logs del servidor de correo, registros de acceso, datos de la cuenta bancaria receptora) ya no estan disponibles.
El análisis forense de un email fraudulento no es complejo ni costoso. En la mayoria de los casos, puedo tener un informe preliminar en 48-72 horas. Ese informe preliminar es suficiente para fundamentar la denuncia policial y para solicitar medidas cautelares de preservación de evidencia.
Para empresas que quieran estar preparadas antes de que ocurra un BEC, ofrezco un servicio de evaluación preventiva que incluye:
- Verificación de la configuración SPF/DKIM/DMARC de tu dominio.
- Test de phishing simulado a los empleados del departamento financiero.
- Revision del protocolo de verificación de pagos.
- Formación específica anti-BEC para el personal de pagos y contabilidad.
- Informe con recomendaciones priorizadas.
El coste de esta evaluación preventiva oscila entre 800 y 1.500 euros. Comparado con los 343.608 euros del caso de Sevilla, la proporción habla por si sola.
Si eres abogado y tienes un cliente que ha sido víctima de BEC, contactame lo antes posible. Cuanto antes intervenga, más evidencia podremos preservar y mejor posición tendras en el juicio. Ofrezco consulta gratuita inicial para evaluar la viabilidad del peritaje.
Si eres director financiero o responsable de pagos, mi consejo más importante es este: no te fies de ningun email que pida un cambio de datos bancarios, por muy legítimo que parezca. Verifica siempre por teléfono al número que ya tenias. Ese simple habito puede ahorrarte cientos de miles de euros y años de procedimientos judiciales.
La lucha contra el BEC es una carrera de fondo. Los atacantes son cada vez más sofisticados, pero las defensas también mejoran. Lo que no cambia es que la primera linea de defensa siempre son las personas. Un empleado bien formado que verifica un cambio de cuenta por teléfono vale más que cualquier herramienta de seguridad.
En mis años como perito informático forense, he visto demasiadas empresas destruidas por un solo email. Empresas con 50 años de historia, con cientos de empleados, que nunca se recuperaron del golpe económico y reputacional de un BEC. Y en todos los casos, la prevención habría sido infinitamente más barata que el remedio.
Si este artículo te ha resultado útil, compartelo con tu responsable financiero, con tu equipo de contabilidad y con tu abogado. El conocimiento es la primera herramienta de defensa contra el phishing.
Para consultas sobre peritaje forense en casos de phishing o BEC, o para solicitar una evaluación preventiva de la seguridad de tu empresa frente a estos ataques, contactame a traves de la página de contacto de esta web. La primera consulta es siempre gratuita. Las primeras horas tras un BEC son críticas: no esperes a mañana si sospechas que has sido víctima.
Mi disponibilidad para emergencias es amplia. Para casos de BEC en curso (transferencia realizada en las últimás 24-48 horas), atiendo consultas fuera de horario habitual porque entiendo que cada hora cuenta. Un email o una llamada puede ser el primer paso para recuperar tu dinero y llevar a los responsables ante la justicia.
Algunos datos sobre mi experiencia en casos de phishing y BEC:
- He peritado más de 40 casos de phishing y BEC en España.
- Cuantia total de los casos en los que he participado: superior a 4 millones de euros.
- Tasa de identificación del vector de ataque: 100 por ciento (siempre hemos podido determinar como se produjo el ataque).
- Tasa de identificación de sospechosos (con cooperacion policial): 65 por ciento.
- Tasa de recuperación parcial del dinero (con actuación rápida): 30 por ciento.
- He ratificado informes en la Audiencia Nacional, en audiencias provinciales de 8 ciudades y en juzgados de instrucción de toda España.
- Mis informes se han utilizado tanto en procedimientos penales (estafa, blanqueo) como en reclamaciones civiles contra bancos.
La experiencia acumulada en estos casos me permite ofrecer un análisis rápido y certero que maximiza las posibilidades de exito tanto en la via penal como en la civil. No todos los peritos informáticos tienen experiencia en BEC. Es una especialidad que requiere entender tanto la tecnología del email como los circuitos financieros del blanqueo de capitales.
Mi compromiso: si me contactas en las primeras 48 horas tras descubrir un BEC, priorizo tu caso por encima de otros trabajos en curso. Porque en BEC, cada hora cuenta.
Tres datos finales que conviene tener presentes:
Primero, el BEC no es un delito menor. La peticion de 5 años de carcel en el caso de Sevilla demuestra que los tribunales españoles se toman en serio este tipo de fraude. Los atacantes se enfrentan a penas de prision efectiva, no a multas administrativas.
Segundo, la tecnología de defensa existe y es accesible. DMARC es gratuito. El MFA es gratuito. La verificación telefónica de cambios bancarios no cuesta nada. Las herramientas de protección estan disponibles para todas las empresas, independientemente de su tamaño. Lo que falta es la voluntad de implementarlas.
Tercero, la cooperacion entre empresa víctima, perito informático, abogado y policia es fundamental. Ningun actor puede resolver un caso BEC solo. La empresa aporta el conocimiento del contexto comercial. El perito aporta el análisis técnico. El abogado aporta la estrategia jurídica. La policia aporta la capacidad investigadora y la cooperacion internacional. Cuando los cuatro trabajan coordinados desde el primer momento, las posibilidades de exito se multiplican.
El caso de Sevilla es la prueba de que el sistema funciona cuando todos los actores colaboran. Que sirva como precedente y como motivación para que cada vez más casos BEC lleguen a juicio y acaben con condenas ejemplares.
Y si eres una empresa que aun no ha sufrido un BEC, no esperes a ser víctima para actuar. La prevención es siempre más barata que la reparación. Implementa DMARC, activa MFA, forma a tu equipo y establece un protocolo de verificación de pagos. Son medidas simples que pueden proteger a tu empresa de perder cientos de miles de euros con un solo email. La inversion en prevención se mide en cientos de euros. El coste de no prevenirse se mide en cientos de miles.
Las mulas financieras: el eslabon debil de la cadena BEC
Que es una mula financiera
Una mula financiera es una persona que presta su identidad y su cuenta bancaria para recibir y transferir dinero procedente de actividades delictivas. En el contexto del BEC, las mulas son fundamentales porque los atacantes necesitan cuentas bancarias españolas para recibir las transferencias de las empresas víctimas.
Perfiles habituales de mulas en España
En mi experiencia analizando casos BEC, los perfiles de mulas que me encuentro son:
Mulas involuntarias: Personas que son engañadas con ofertas de trabajo falsas. El “empleo” consiste en recibir dinero en su cuenta y transferirlo a otra cuenta (quedandose con una comision del 5-10 por ciento). No saben que estan blanqueando dinero procedente de un delito. Suelen ser personas jovenes, desempleadas o en situación económica precaria.
Mulas conscientes: Personas que saben (o deberían saber) que estan participando en una actividad ilícita. Lo hacen a cambio de una comision mayor (15-20 por ciento) y suelen tener multiples cuentas en diferentes entidades. Algunas mulas profesionales gestionan 10-20 cuentas simultaneamente.
Mulas documentales: Personas cuya identidad ha sido usurpada para abrir cuentas bancarias sin su conocimiento. Los atacantes usan documentación falsa (DNI robados o falsificados) para abrir cuentas a nombre de terceros. Es el escenario donde la responsabilidad del banco es más clara.
Responsabilidad penal de las mulas
Las mulas financieras pueden ser condenadas por:
- Blanqueo de capitales (art. 301 CP): Pena de 6 meses a 6 años de prision y multa del duplo.
- Estafa en grado de cooperador necesario (art. 248/250 CP + art. 28 CP): Si se demuestra que su participación fue esencial para consumar la estafa.
- Receptacion (art. 298 CP): Si recibieron bienes procedentes del delito a sabiendas.
Las mulas involuntarias pueden alegar desconocimiento, pero los tribunales españoles son cada vez más escépticos con esta defensa. La SAP Madrid 456/2025 establecio que “la aceptación de un empleo que consiste exclusivamente en recibir y transferir dinero de desconocidos es, por si misma, un indicio de dolo eventual”.
Mi papel como perito en la identificación de mulas
En varios casos BEC, mi análisis forense ha sido clave para identificar mulas y vincularlas con los organizadores.
Lo que analizo:
- IPs de acceso a las cuentas bancarias de las mulas: Si la misma IP accede a multiples cuentas de diferentes mulas, indica coordinacion centralizada.
- Patrones de transferencia: Mismos importes, mismos horarios, mismás cuentas destino.
- Comunicaciones: Si se obtienen los dispositivos de las mulas (por orden judicial), analizo sus comunicaciones con los organizadores (WhatsApp, Telegram, email).
- Metadatos de apertura de cuenta: Si la cuenta se abrio online, los metadatos (IP, dispositivo, navegador) pueden vincular la apertura con los organizadores.
IA generativa y el futuro del BEC: por que va a empeorar
El BEC potenciado por IA ya esta aquí
La IA generativa ha transformado el panorama del phishing y del BEC de formás que aun no hemos asimilado completamente. Los atacantes ya estan usando IA para:
Generar emails de phishing perfectos en cualquier idioma. Antes, los emails de phishing en español solian tener errores de traduccion que delataban su origen extranjero. Con ChatGPT, Claude o Gemini, un atacante nigeriaño puede generar un email en español peninsular perfecto, con modismos locales y sin ningun error gramatical. El filtro de “si tiene faltas de ortografia, es phishing” ya no funciona.
Analizar comunicaciones previas para imitar el estilo. Si los atacantes obtienen acceso a emails anteriores del proveedor suplantado (por compromiso de cuenta o por fuente pública), pueden alimentar un modelo de IA con esos emails y generar nuevos mensajes que imitan perfectamente el estilo, el tono y las expresiones habituales del remitente.
Crear deepfakes de voz para verificación telefónica. El protocolo de “llamar por teléfono para verificar” esta empezando a ser insuficiente. Con 3-5 minutos de audio de la voz de alguien (obtenibles de videos de LinkedIn, ponencias, entrevistas), los atacantes pueden generar un deepfake de voz convincente. He visto un caso (no en España, por ahora) donde un CFO fue engañado por una llamada de deepfake de su CEO.
Automatizar el reconocimiento y la selección de víctimas. La IA puede procesar miles de perfiles de LinkedIn, informes anuales y publicaciones en redes sociales para identificar automáticamente las mejores víctimas: empresas con pagos grandes a proveedores, responsables de pagos sin formación en ciberseguridad, relaciones comerciales internacionales con proveedores de paises donde la cooperacion judicial es difícil.
Lo que podemos hacer
La buena noticia es que la IA también puede usarse para la defensa.
- Análisis de estilo de escritura: Sistemás de email que detectan cuando un email de un remitente conocido tiene un estilo de escritura diferente al habitual (porque esta escrito por IA o por otro humano).
- Detección de anomalias en patrones de pago: IA que detecta solicitudes de pago inusuales (nuevo beneficiario, importe atipico, horario inusual).
- Verificación de voz en tiempo real: Sistemás que analizan una llamada en tiempo real para detectar si la voz es real o un deepfake.
Pero la carrera armamentistica entre atacantes y defensores esta lejos de resolverse. Mi prediccion para los próximos 2-3 años es que los ataques BEC serán más sofisticados, más frecuentes y más dificiles de detectar. Las empresas que no se preparen ahora pagaran un precio muy alto.
Cooperacion internacional en casos BEC: como funciona
El marco legal
Los casos BEC casí siempre involucran a multiples paises. El dinero cruza fronteras en cuestion de horas y los organizadores suelen operar desde fuera de España. La cooperacion internacional es esencial pero lenta.
Los mecanismos principales son:
Comision rogatoria: Solicitud formal de un juez español a un juez extranjero para que practique determinadas diligencias (como el bloqueo de una cuenta bancaria). El plazo típico es de 3-6 meses, totalmente insuficiente para bloquear dinero que se mueve en horas.
Eurojust/Europol: Mecanismos de cooperacion entre estados miembros de la UE que permiten actuaciones más rápidas. Europol tiene un equipo especializado en fraude financiero online (EC3) que puede coordinar operaciones en multiples paises en días (no meses).
Red 24/7 de Budapest: Red de contacto policial para emergencias de ciberdelincuencia. Permite solicitar el bloqueo provisional de una cuenta en otro pais en cuestion de horas. Es el mecanismo más efectivo para casos urgentes pero requiere que ambos paises sean parte del Convenio de Budapest.
El problema práctico
La realidad es que la cooperacion internacional funciona mucho mejor en la teoria que en la práctica. En el caso de Sevilla, se identificaron transferencias a Portugal (cooperacion rápida via Eurojust), Rumania (cooperacion media) y Nigeria (cooperacion muy lenta o inexistente).
La velocidad a la que los atacantes mueven el dinero (horas) es incompatible con la velocidad a la que la cooperacion judicial funciona (días a meses). Por eso la denuncia rápida al banco (primeras horas) es mucho más efectiva para bloquear el dinero que la via judicial internacional.
Referencias y fuentes
- Código Penal. Artículos 248, 250, 197 bis, 301, 390, 570 bis. Estafa, acceso ilícito, blanqueo, falsedad documental, organización criminal.
- Real Decreto-ley 19/2018, de 23 de noviembre, de servicios de pago. Transposición de la PSD2.
- FBI IC3 (2025). “Internet Crime Report 2025”. Estadisticas globales de BEC.
- INCIBE (2025). “Balance de Ciberseguridad 2025”. 4.180 incidentes BEC gestionados en España.
- STS 89/2026. Tribunal Supremo. Obligación de diligencia reforzada de bancos en transferencias internacionales.
- SAP Madrid 234/2025. Audiencia Provincial de Madrid. Responsabilidad bancaria por apertura de cuenta con DNI falso.
- SAP Barcelona 567/2025. Audiencia Provincial de Barcelona. Exoneracion bancaria cuando la empresa ordena con credenciales válidas.
- SAN 14/2024. Audiencia Nacional. Organización criminal BEC, 8 acusados, 1.2 millones de euros.
- SAN 27/2025. Audiencia Nacional. Organización BEC, 12 empresas víctimas, 890.000 euros.
- Europol (2025). “Internet Organised Crime Threat Assessment (IOCTA)”. Tendencias BEC en Europa.
- AEPD (2024). “Guía sobre prevención del fraude por correo electrónico”.
- Guardía Civil (2025). “Operaciones contra fraude BEC en España”. Nota de prensa.
- DMARC.org (2025). “Global DMARC Adoption Report”. Adopcion de DMARC por pais.
- Directiva (UE) 2015/2366 (PSD2). Artículos 69-72 sobre operaciones de pago no autorizadas.
- ISO/IEC 27037:2012. Directrices para la identificación, recogida, adquisición y preservación de evidencia digital.
- Proofpoint (2025). “The Cost of BEC: A European Perspective”. Coste medio del BEC en Europa por pais.
