how to use internet.

← Volver a Estafas & phishing

Defienda su organización contra estafas empresariales

Progreso 0 / 12
Capítulos (12)

Fraude en transferencias y facturas

El fraude en transferencias y facturas representa la categoría de ataques BEC financieramente más devastadora. Con el 90% de empresas como objetivo y el 63% experimentando fraude real, estos ataques explotan procesos de pago para desviar fondos a cuentas criminales.

La escala del problema

Estadísticas 2024:

  • 90% de empresas objetivo de intentos de fraude en transferencias
  • 63% experimentaron fraude en transferencias bancarias exitoso
  • 60% perdieron más de 5 millones de dólares (aumento del 136% desde 2023)
  • 2.900 millones de dólares perdidos por fraude en transferencias globalmente
  • El compromiso de proveedores aumentó 66% en H1 2024
  • Tasa de recuperación promedio: Menos del 15% de fondos robados

Por qué es tan devastador:

  • Las transferencias son inmediatas y difíciles de revertir
  • Las transferencias internacionales son casi imposibles de recuperar
  • Los estafadores trabajan rápidamente para mover/retirar fondos
  • Los bancos tienen responsabilidad limitada una vez autorizada la transferencia

Tipos de fraude en transferencias y facturas

1. Manipulación de factura

Cómo funciona:

  • El estafador compromete correo (empleado, proveedor o cliente)
  • Monitorea correspondencia para entender procesos de pago
  • Intercepta factura legítima
  • Modifica detalles de cuenta bancaria
  • Envía a contabilidad con nueva información de pago

Variaciones comunes:

  • Factura PDF con detalles bancarios alterados
  • Correo desde cuenta de proveedor comprometida
  • Notificación de “información bancaria actualizada”
  • Anuncios de “hemos cambiado de banco”

2. Desvío de pago

Cómo funciona:

  • El correo parece ser del proveedor
  • Afirma que la cuenta bancaria cambió debido a fusión, seguridad u otra razón
  • Proporciona nuevas instrucciones de transferencia
  • Contabilidad actualiza información del proveedor
  • Todos los pagos futuros se desvían al estafador

Señales de alerta:

  • Notificación de cambio inesperada
  • “Verificar inmediatamente” urgente
  • Enviado por correo en lugar de carta formal
  • Cuenta bancaria en diferente país/estado que el proveedor

3. Fraude de factura de intermediario

Cómo funciona:

  • El estafador compromete el correo de una parte
  • Monitorea comunicaciones de factura/pago
  • Intercepta y modifica facturas en tránsito
  • Ninguna parte se da cuenta del fraude hasta que el pago no llega

Ejemplo:

  • El proveedor envía factura al cliente
  • El estafador intercepta, cambia detalles bancarios
  • El cliente paga al estafador pensando que es el proveedor
  • El proveedor nunca recibe pago, exige pago nuevamente
  • El cliente se da cuenta del fraude, el dinero se ha ido

4. Transferencia fraudulenta de CEO

Cómo funciona:

  • Correo suplantando CEO/CFO
  • Solicita transferencia urgente
  • Afirma adquisición/trato confidencial
  • Instruye evadir procedimientos normales
  • Finanzas autoriza para evitar enojar al ejecutivo

Por qué funciona:

  • Sesgo de autoridad (obedecer ejecutivos)
  • La urgencia evade la verificación
  • La confidencialidad impide la discusión
  • Miedo de cuestionar al liderazgo

5. Suplantación de abogado/legal

Cómo funciona:

  • El correo afirma ser de bufete de abogados manejando transacción
  • Membrete y lenguaje profesional
  • Solicita transferencia para cierre, acuerdo, honorarios legales
  • Proporciona información de cuenta bancaria

Objetivos comunes:

  • Transacciones inmobiliarias
  • Fusiones y adquisiciones
  • Acuerdos legales
  • Pagos de contratos

Casos de estudio del mundo real

Caso 1: Toyota Boshoku Corporation (37 millones, 2019)

Lo que sucedió:

  • Empleado de finanzas recibió correo de “ejecutivo”
  • Solicitaba transferencia de fondos para adquisición
  • El correo parecía legítimo (dominio falsificado)
  • Empleado autorizó transferencia de 37 millones
  • Fondos enviados a múltiples cuentas internacionales
  • Descubierto días después cuando el ejecutivo real preguntó

Resultado: Recuperación parcial a través de acción rápida y cooperación policial, pero mayoría perdida.

Caso 2: Estafa de cambio de cuenta de proveedor (Empresa manufacturera, 2,3 millones, 2024)

Lo que sucedió:

  • Correo de proveedor de larga data notificando cambio de banco
  • Correo profesional coincidiendo con estilo del proveedor
  • Cuenta de correo del proveedor había sido comprometida
  • Contabilidad actualizó registros del proveedor
  • Tres meses de pagos (2,3 millones) enviados al estafador
  • Proveedor real contactó sobre falta de pago
  • Para entonces, dinero movido a través de múltiples países

Resultado: Menos del 10% recuperado.

Caso 3: Fraude en transferencia inmobiliaria (150.000, 2024)

Lo que sucedió:

  • Comprador de vivienda recibió instrucciones de cierre por correo
  • El correo parecía ser de la compañía de títulos
  • Incluía instrucciones de transferencia para enganche
  • Comprador transfirió 150.000 como se indicó
  • En el cierre, la compañía de títulos no tenía registro del pago
  • El correo era del estafador monitoreando la transacción

Resultado: No recuperado. Comprador perdió enganche y venta de casa.

Procedimientos de verificación

Para TODAS las transferencias:

Verificación obligatoria de múltiples pasos:

  1. Verificación de devolución de llamada:

    • Llamar a número de teléfono conocido (no del correo)
    • Verificar con persona que conoce en la empresa
    • Confirmar monto exacto y detalles de cuenta
    • Documentar con quién habló y cuándo

  2. Doble aprobación:

    • Dos personas deben aprobar transferencias sobre umbral
    • Los aprobadores no pueden estar relacionados o reportarse entre sí
    • Firmas físicas o aprobación digital segura

  3. Período de espera:

    • Retención de 24-48 horas para solicitudes inusuales
    • Nuevos proveedores requieren verificación extendida
    • Montos grandes (>50.000) requieren aprobación ejecutiva

  4. Transacción de prueba:

    • Enviar pequeño monto primero (1-10 dólares)
    • Confirmar recepción con proveedor
    • Enviar resto solo después de confirmación

Para cambios bancarios de proveedores:

Protocolo de verificación estricto:

  1. Nunca aceptar solo por correo:

    • Requerir carta formal en membrete de empresa
    • Llamar a contacto conocido para verificar (no número en correo)
    • Solicitar reunión en persona si es posible
    • Verificar con múltiples contactos en proveedor

  2. Documentación requerida:

    • Carta bancaria oficial confirmando nueva cuenta
    • Autorización de proveedor firmada por oficial
    • Formulario W-9 actualizado
    • Verificación de pago de prueba

  3. Marcar en sistema:

    • Marcar cuenta como “recientemente cambiada”
    • Requerir verificación extra por 90 días
    • Alertar a todos los miembros del equipo que trabajan con proveedor

Para revisión de facturas:

Cada factura debe verificarse para:

  1. Verificaciones de consistencia:

    • Coincide con facturas previas (formato, detalles bancarios)
    • Misma información de contacto
    • Fechas de entrega/servicio esperadas
    • Precios y cantidades normales

  2. Verificación de cuenta bancaria:

    • Comparar con pagos previos
    • Cualquier cambio requiere verificación
    • Verificar que país/banco coincida con ubicación del proveedor

  3. Verificación de comunicación:

    • Confirmar factura por teléfono
    • Usar información de contacto de correspondencia previa, no correo actual
    • Verificar detalles específicos (número de PO, monto, fecha)

Controles técnicos

Seguridad de correo:

  1. Autenticación de correo:

    • SPF, DKIM, DMARC configurados y aplicados
    • Rechazar correos que fallen autenticación
    • Mostrar advertencias para correos externos

  2. Monitoreo de dominios:

    • Alertar sobre dominios similares (empresainc vs empresa-inc)
    • Monitorear typosquatting
    • Registrar errores ortográficos comunes

  3. Filtrado de correo:

    • Marcar solicitudes de cambios de cuenta bancaria
    • Alertar sobre palabras clave de transferencia
    • Resaltar correos externos solicitando pagos

Controles financieros:

  1. Segregación de funciones:

    • Diferentes personas: solicitar, aprobar, ejecutar
    • Ninguna persona sola puede completar transferencia
    • Rotación regular de responsabilidades

  2. Límites de transacción:

    • Límites diarios por persona
    • Umbrales de monto para niveles de aprobación
    • Limitar quién puede autorizar transferencias

  3. Gestión de proveedores:

    • Base de datos centralizada de proveedores
    • Auditorías regulares de información de proveedores
    • Procedimientos formales de solicitud de cambio
    • Verificación anual de información bancaria

  4. Automatización de pagos:

    • ACH en lugar de transferencia cuando sea posible
    • Sistemas de pago positivo
    • Monitoreo de fraude en tiempo real
    • Tarjetas de crédito virtuales para proveedores específicos

Monitoreo y auditoría:

  1. Monitoreo en tiempo real:

    • Alertar sobre montos de pago inusuales
    • Marcar pagos a cuentas nuevas
    • Monitorear transferencias internacionales
    • Detectar desviaciones de patrones

  2. Auditorías regulares:

    • Revisar transferencias mensualmente
    • Verificar información bancaria de proveedores trimestralmente
    • Probar procedimientos de verificación
    • Analizar patrones de intentos de fraude

Procedimientos de respuesta

Si se sospecha o confirma fraude en transferencia:

Acciones inmediatas (en minutos):

  1. Llamar a su banco inmediatamente:

    • Solicitar retiro de transferencia
    • El éxito depende de velocidad (las horas importan)
    • Proporcionar todos los detalles de transacción
    • Solicitar retención en cuenta del beneficiario

  2. Contactar banco receptor:

    • Su banco típicamente hará esto
    • Puede solicitar congelamiento de cuenta
    • Internacional requiere acción rápida

  3. Contactar FBI:

    • FBI IC3: ic3.gov
    • Presentar denuncia inmediatamente
    • FBI puede contactar bancos internacionales
    • La velocidad es crítica (ventana de 24-48 horas)

  4. Preservar evidencia:

    • No eliminar correos
    • Capturar pantalla de todo
    • Guardar encabezados de correo
    • Documentar cronología

Dentro de 24 horas:

  1. Reportar a autoridades:

    • Policía local (presentar reporte)
    • FBI IC3 (denuncia en línea)
    • FinCEN (Financial Crimes Enforcement Network)
    • Regulador bancario estatal

  2. Notificar a partes interesadas:

    • Liderazgo de empresa
    • Asesor legal
    • Aseguradora (seguro cibernético)
    • Comité de auditoría

  3. Investigación forense:

    • Determinar cómo se comprometió el correo
    • Revisar todas las transacciones recientes
    • Identificar otras víctimas potenciales
    • Parchear vulnerabilidades de seguridad

Continuo:

  1. Esfuerzos de recuperación:

    • Trabajar con FBI y bancos
    • Aplicación de ley internacional si es necesario
    • Litigio civil contra bancos beneficiarios (rara vez exitoso)
    • Reclamo de seguro si está cubierto

  2. Prevenir recurrencia:

    • Implementar controles más fuertes
    • Capacitación mejorada
    • Revisar y actualizar procedimientos
    • Aumentar requisitos de verificación

Capacitación y cultura

Capacitación de empleados:

Temas clave:

  • Ejemplos reales de fraude en transferencias
  • Procedimientos de verificación (práctica)
  • Autoridad para cuestionar y verificar
  • “Si ves algo, di algo”
  • Consecuencias del fraude (empleos, supervivencia de empresa)

Frecuencia de capacitación:

  • Capacitación inicial de incorporación
  • Recordatorios trimestrales
  • Después de cualquier incidente (en toda la empresa)
  • Capacitación específica por rol (finanzas, contabilidad, adquisiciones)

Crear cultura de verificación:

El liderazgo debe:

  • Apoyar públicamente procedimientos de verificación
  • Seguir procedimientos ellos mismos (sin excepciones)
  • Elogiar empleados que verifican
  • Nunca castigar “precaución excesiva”
  • Financiar personal adecuado para controles

Mensaje claro:

  • “La verificación es parte de tu trabajo”
  • “Preferimos retrasar pago que perder millones”
  • “En caso de duda, verificar”
  • “Nadie es demasiado importante para ser verificado”

Puntos clave

  • 90% de empresas como objetivo; 63% experimentan fraude exitoso
  • Verificación de devolución de llamada obligatoria para todas las transferencias
  • Doble aprobación requerida para grandes montos
  • Nunca aceptar cambios bancarios solo por correo
  • Transacciones de prueba antes de enviar grandes montos
  • La velocidad es crítica - contactar bancos/FBI dentro de horas del descubrimiento
  • Controles técnicos: Autenticación de correo, monitoreo, límites
  • La cultura importa: La verificación debe esperarse y elogiarse

Recuerde: Las transferencias son inmediatas y casi irreversibles. Los pocos minutos dedicados a verificar pueden ahorrar millones. Ningún proveedor o ejecutivo legítimo objetará procedimientos de verificación. Construya múltiples capas de defensa—controles técnicos, procedimientos de verificación y una cultura que valore la precaución sobre la velocidad.

Autor:
How To Use Internet
Última actualización:
30/11/2025