Fraude BEC: Qué Es, Cómo Funciona y Cómo lo Demostré en un Juicio Real
El fraude BEC (Business Email Compromise) es una de las amenazas más sofisticadas y costosas que afectan actualmente a empresas de todos los tamaños. A diferencia del phishing tradicional, que lanza anzuelos masivos esperando que alguien pique, el BEC es un ataque dirigido, estudiado y ejecutado con precisión quirúrgica.
En este artículo explico cómo funciona este tipo de fraude y comparto un caso real en el que mi intervención como perito informático forense resultó determinante para que mi cliente recuperara casi 8.000 euros.
¿Qué es el Fraude BEC?
BEC son las siglas de Business Email Compromise, que podríamos traducir como «compromiso del correo electrónico empresarial». Se trata de un tipo de ciberataque en el que los delincuentes interceptan o suplantan comunicaciones comerciales legítimas para desviar pagos a cuentas bajo su control.
Según el FBI, el fraude BEC ha causado pérdidas superiores a 50.000 millones de dólares a nivel global entre 2013 y 2023. En España, el INCIBE alerta regularmente sobre el incremento de este tipo de ataques, especialmente en sectores como el transporte, la construcción y el comercio internacional.
¿Cómo Funciona el Ataque?
El fraude BEC puede adoptar diferentes formas, pero el patrón más habitual en España es el conocido como fraude de la factura modificada o supplier fraud. Funciona así:
Fase 1: Reconocimiento
El atacante identifica a su víctima estudiando la empresa objetivo. Puede hacerlo mediante:
- Información pública en redes sociales y webs corporativas
- Filtraciones de datos previas
- Ingeniería social (llamadas haciéndose pasar por proveedores, clientes, etc.)
- Acceso no autorizado a buzones de correo (mediante phishing previo o credenciales robadas)
El objetivo es conocer con quién trabaja la empresa, qué proveedores tiene, cuándo se emiten facturas y quién las gestiona.
Fase 2: Interceptación o Suplantación
Una vez tiene la información, el atacante puede actuar de dos formas:
Opción A – Compromiso real del buzón: El atacante consigue acceso al correo electrónico de una de las partes (proveedor o cliente). Desde ahí puede leer las conversaciones, esperar el momento oportuno y modificar una factura antes de que llegue al destinatario.
Opción B – Suplantación de identidad: El atacante crea un dominio muy similar al legítimo (por ejemplo, «empresa-proveedora.com» en lugar de «empresaproveedora.com») y envía la factura fraudulenta desde ahí, esperando que el receptor no advierta la diferencia.
Fase 3: Modificación de la Factura
El elemento clave del fraude es sencillo pero devastador: cambiar el número de cuenta bancaria en la factura. Todo lo demás permanece igual: datos fiscales, conceptos, importes, formato, logotipos. La factura parece completamente legítima.
Fase 4: Cobro y Desaparición
La víctima paga convencida de estar abonando a su proveedor habitual. Cuando el proveedor real reclama el pago días o semanas después, ya es tarde: el dinero ha sido transferido a otras cuentas y retirado.
El Problema Jurídico: ¿Quién Asume la Pérdida?
Aquí es donde el fraude BEC se convierte en un problema legal complejo. Tenemos:
- Un proveedor que prestó un servicio legítimo y no ha cobrado
- Un cliente que pagó de buena fe una factura que parecía auténtica
- Un delincuente que probablemente nunca será identificado ni detenido
¿Quién debe asumir la pérdida? El artículo 1.164 del Código Civil establece que el pago hecho de buena fe a quien aparenta ser el acreedor libera al deudor. Pero la jurisprudencia exige que esa buena fe sea objetiva, es decir, que el pagador haya actuado con la diligencia razonable según las circunstancias.
La clave del litigio suele ser determinar dónde se produjo el fallo de seguridad que permitió el ataque. Y ahí es donde entra la prueba pericial informática.
Un Caso Real: 2 Minutos y 2 Segundos
En 2024, una cooperativa de transportes de la Región de Murcia me contactó tras sufrir exactamente este escenario. Habían prestado servicios de transporte por importe de 7.828,58€ y enviado la factura por correo electrónico. La empresa cliente pagó al día siguiente, pero el dinero nunca llegó.
La empresa pagadora alegaba buena fe y se negaba a pagar de nuevo. Mi cliente necesitaba demostrar que la factura había salido correctamente de sus sistemas y que la manipulación se produjo en otro punto.
Mi Primer Informe
Analicé el correo electrónico saliente desde los servidores de mi cliente y concluí que:
- El archivo de correo era auténtico, sin indicios de manipulación en las cabeceras
- El PDF adjunto salió de los servidores de origen sin alteraciones
- Los metadatos del documento eran coherentes con la fecha de emisión
- La cuenta de correo disponía de autenticación de doble factor (MFA)
El Contrainforme
La parte contraria aportó un informe pericial de 46 páginas elaborado por otro perito. En él se argumentaba que el dominio de mi cliente presentaba «vulnerabilidades» en su configuración de seguridad (SPF, DKIM, DMARC) y que mi análisis era «incompleto» porque no había examinado estos aspectos.
Las conclusiones del contrainforme apuntaban a mi cliente como responsable del fallo de seguridad.
La Adenda Decisiva
Días antes del juicio, conseguí acceso al correo electrónico tal como fue recibido en los servidores de la empresa demandada. Este archivo, que el perito contrario nunca analizó ni aportó para contradicción, contenía la prueba definitiva.
El análisis comparado de ambos correos —el enviado y el recibido— permitió establecer una cronología exacta:
| Hora | Evento | Ubicación |
|---|---|---|
| 12:37:25 | PDF creado | Servidores de mi cliente |
| 13:10:23 | Email enviado | Sale de Outlook/Office365 |
| 13:10:26 | Email recibido | Llega a servidores del destinatario |
| 13:12:28 | PDF modificado | Servidores del destinatario |
La factura fue alterada 2 minutos y 2 segundos después de llegar a los servidores de la empresa demandada. La manipulación no pudo producirse en origen ni durante el tránsito.
Además, detecté que el campo «Reply-To» del correo recibido había sido manipulado para incluir una dirección de un dominio fraudulento, con el objetivo de interceptar posibles respuestas.
La Sentencia
El Magistrado del Juzgado de lo Mercantil nº 2 de Sevilla acogió íntegramente mis conclusiones. En el Fundamento de Derecho Cuarto de la Sentencia 100/2025, al valorar el contrainforme, estableció:
«Los fallos que el informe pericial elaborado por el perito de la parte demandada atribuye a la seguridad de los sistemas informáticos de la demandante no permiten alterar la conclusión alcanzada porque no se ha acreditado que ello tuviera incidencia directa en la manipulación fraudulenta de la factura, máxime cuando la modificación del PDF se produjo estando el archivo en el servidor de la demandada.»
Resultado: Demanda estimada íntegramente. Condena al pago de 7.828,58€ más intereses legales.
La Lección
Este caso ilustra algo que repito constantemente: en informática forense, 46 páginas de especulación sobre vulnerabilidades teóricas no valen lo que 5 páginas de datos objetivos y verificables.
El perito contrario dedicó su informe a analizar qué podría haber fallado en el dominio de mi cliente. Yo me centré en demostrar qué ocurrió realmente, con timestamps precisos extraídos de las propias evidencias.
La prueba técnica gana casos cuando se fundamenta en hechos, no en posibilidades.
¿Ha Sufrido un Fraude BEC?
Si su empresa ha sido víctima de este tipo de ataque, o representa a un cliente en un litigio derivado de un fraude de factura, puedo ayudarle a:
- Analizar las comunicaciones electrónicas para determinar el punto de compromiso
- Verificar la autenticidad e integridad de correos y documentos
- Elaborar informes periciales conforme a las normas UNE aplicables
- Ratificar las conclusiones en vista oral
Gustavo Martínez Luengo Perito Informático Forense Colegiado COITIMUR 0110/30 | COITICV 20220008
Caso anonimizado conforme a la normativa de protección de datos.
