Un correo del director financiero pide una transferencia urgente y confidencial para cerrar una operación. El empleado la ejecuta. El correo era falso, la operación no existía, y el dinero ya está en Hong Kong. Se llama fraude del CEO, y en las empresas medianas españolas es hoy más frecuente que el atraco.
Cómo funciona, exactamente
El fraude del CEO (o business email compromise) no es un ataque técnico sofisticado. Es un ataque a las personas y a los procedimientos, y ahí está su eficacia.
El atacante estudia la empresa durante semanas: quién firma, quién paga, cuándo viaja el director general, qué tono usa en los correos, con qué proveedores trabaja. A veces ya tiene acceso a un buzón real, comprometido meses antes, y simplemente espera.
Y entonces ataca en el momento perfecto: viernes por la tarde, el director de vacaciones, una operación confidencial que «no puede comentarse con nadie», y una presión de tiempo que impide verificar. El empleado que ejecuta la orden no es un incompetente: es alguien que ha hecho exactamente lo que hace siempre.
Las variantes que más vemos
- Suplantación del directivo: correo desde un dominio casi idéntico al real, con una letra cambiada que nadie mira.
- Cambio de cuenta del proveedor: un correo, aparentemente del proveedor de siempre, comunica un nuevo número de cuenta para las próximas facturas. Esta es la modalidad más devastadora, porque el fraude no se detecta hasta que el proveedor real reclama, semanas después.
- Buzón comprometido: el atacante está dentro del correo real, lee las conversaciones y se inserta en un hilo legítimo en el momento del pago.
Las primeras horas: aquí se recupera o se pierde el dinero
Este es el punto crítico y donde casi todas las empresas pierden el tiempo que no tienen. Hay una ventana de horas.
- Llame al banco inmediatamente y solicite la retrocesión o el bloqueo de la transferencia. Cuanto antes, mayor probabilidad de que el dinero siga ahí.
- Denuncie de inmediato: la denuncia permite activar la cooperación bancaria internacional y el bloqueo en el banco de destino.
- No apague ni limpie los sistemas. El impulso de «asegurar» el correo borrando y reinstalando destruye la evidencia del acceso, que es lo que después demuestra qué pasó y quién falló.
- Preserve forensemente el buzón, los registros de acceso y los correos originales con sus cabeceras completas. Las cabeceras son la prueba, y se pierden al reenviar el correo.
¿Responde el banco?
Depende, y la respuesta honesta es que menos que en el fraude al consumidor. Cuando el ordenante es una empresa y la transferencia se autorizó con sus propias credenciales legítimas, la operación no es «no autorizada» en el sentido de la normativa de servicios de pago: la autorizó un empleado con poder para hacerlo.
Eso no cierra la puerta. Se examina si el banco cumplió sus obligaciones de detección de operaciones atípicas, si la cuenta de destino presentaba señales evidentes de alerta, y si hubo negligencia en la ejecución. Pero conviene no vender expectativas: aquí la recuperación llega antes por la vía de la rapidez que por la de la reclamación.
La responsabilidad interna: la conversación incómoda
Después llega la segunda parte, y es donde la empresa se hace daño a sí misma. El empleado que ejecutó la transferencia no cometió un delito: fue engañado, igual que la empresa. Despedirle de forma precipitada, además de injusto, suele acabar en una improcedencia.
La pregunta correcta no es quién apretó el botón, sino por qué el procedimiento permitía apretarlo. Y ahí la responsabilidad es de la organización: no había doble verificación, no había un canal alternativo para confirmar cambios de cuenta, y la cultura interna hacía impensable cuestionar una orden del director.
Lo que de verdad lo evita
Es sorprendentemente barato y casi nadie lo tiene:
- Doble verificación por canal distinto para toda transferencia por encima de un umbral, y para todo cambio de cuenta bancaria de un proveedor. Una llamada al número de siempre, nunca al que figura en el correo.
- Segregación de funciones: quien ordena no ejecuta.
- Autorización de dos personas por encima de cierta cantidad.
- Una cultura donde preguntar no sea insubordinación. Este es el control más eficaz y el más difícil de implantar.
Y todo ello documentado, porque forma parte del programa de cumplimiento y, llegado el caso, acredita la diligencia de la empresa.
Relacionado: ciberataques a empresas, delitos informáticos y abogado de estafa.
Francisco Javier Martín Porras
Abogado penalista, socio de Société de Conseil Juridique et Expert y creador de la metodología LIWARD®. Dirige la defensa en procedimientos penales de alta complejidad, combinando estrategia procesal con análisis pericial y forense. Conozca al equipo →

