Volver al blog Ciberseguridad

¿Qué es el fraude del CEO y cómo se evita?

3L Systems 26 de junio de 2026

Contenido del artículo

El fraude del CEO es una estafa en la que un delincuente suplanta a un directivo, un proveedor o un cliente —normalmente por correo electrónico— para engañar a un empleado y conseguir que ordene una transferencia o cambie unos datos bancarios. No hay virus ni intrusión técnica espectacular: el ataque se basa en la ingeniería social, es decir, en manipular a una persona aprovechando su confianza, la prisa y el respeto a la jerarquía. Se evita combinando procedimientos claros de pago, doble verificación por un canal independiente, formación del equipo y medidas técnicas en el correo. A continuación lo explicamos en detalle.

Qué es el fraude del CEO (y por qué se llama BEC)

En la documentación de seguridad encontrarás este tipo de estafa con las siglas BEC, de Business Email Compromise («compromiso del correo corporativo»). El «fraude del CEO» es la variante más conocida: el atacante se hace pasar por el director general, el gerente o un cargo con autoridad y, en un correo de tono urgente y confidencial, pide a alguien de administración o finanzas que realice un pago «discreto» y «cuanto antes».

Lo que hace peligroso a este fraude es que no busca vulnerar la tecnología, sino a las personas. El mensaje parece legítimo, llega en un momento de carga de trabajo y apela a la jerarquía: pocas personas cuestionan una petición que aparenta venir de su jefe. Por eso un antivirus o un buen cortafuegos, por sí solos, no lo detienen: aquí la última línea de defensa es el criterio del empleado y un procedimiento que le respalde.

Cómo funciona, paso a paso

Aunque cada caso es distinto, el patrón suele seguir estas fases:

  • Investigación previa: el atacante recopila información pública de la empresa (organigrama en webs y redes, nombres de directivos, proveedores habituales). Cuanto más sabe, más creíble será el engaño.
  • Suplantación: crea una dirección de correo casi idéntica a la real (un dominio con una letra cambiada) o, en los casos más graves, accede a una cuenta real previamente comprometida.
  • El gancho: envía un mensaje con urgencia y confidencialidad: «estoy en una reunión, necesito que hagas esta transferencia ahora y no comentes nada hasta que se cierre la operación».
  • La petición: solicita una transferencia a una cuenta nueva, o pide cambiar la cuenta bancaria de un proveedor conocido por la del estafador.
  • La presión: si la víctima duda, insiste y mete prisa para que no haya tiempo de comprobar nada.

Ejemplos reales y variantes habituales

El fraude del CEO no es teórico: distintos cuerpos policiales y organismos de ciberseguridad llevan años alertando de casos que han costado a empresas de todos los tamaños cantidades importantes. Estas son las variantes que más se repiten:

  • La transferencia urgente del «director»: un empleado de finanzas recibe un correo que aparenta venir del director general pidiendo una transferencia inmediata para «cerrar una operación confidencial». La cuenta de destino es del estafador.
  • El cambio de cuenta del proveedor: llega un mensaje que parece de un proveedor habitual avisando de que «han cambiado de banco» y pidiendo que las próximas facturas se paguen a una nueva cuenta. Es uno de los más difíciles de detectar porque la relación con ese proveedor es real.
  • La factura modificada: el atacante intercepta o imita una factura legítima y solo altera el número de cuenta. Todo lo demás coincide.
  • La suplantación al cliente: en sentido inverso, alguien se hace pasar por tu empresa ante tus clientes para desviar sus pagos.

La clave que comparten todos: piden mover dinero o cambiar una cuenta bancaria con urgencia y saltándose el procedimiento habitual. Siempre que aparezca esa combinación —dinero, prisa y excepción a la norma—, hay que parar y verificar.

Cómo evitarlo: doble verificación de pagos

El control más eficaz contra el fraude del CEO es sorprendentemente sencillo y de organización, no de tecnología: verificar siempre por un segundo canal independiente cualquier pago elevado o cambio de datos bancarios. Si el correo pide una transferencia, se confirma con una llamada de teléfono al número que ya conocíamos del directivo o del proveedor —nunca al número o al correo que figura en el mensaje sospechoso, que podría ser del propio estafador—.

Sobre esa idea se construyen unas buenas prácticas que conviene formalizar:

  • Doble firma para pagos altos: que ninguna transferencia por encima de un umbral pueda autorizarse con la decisión de una sola persona.
  • Protocolo para cambios de cuenta bancaria: todo cambio de IBAN de un proveedor se verifica por teléfono con un contacto de confianza antes de aplicarlo.
  • Nada de «excepciones por urgencia»: la prisa no justifica saltarse el procedimiento; precisamente la urgencia es la herramienta favorita del estafador.
  • Procedimiento escrito y conocido: que todo el equipo sepa qué pasos seguir, de modo que verificar no se viva como desconfianza, sino como rutina normal.

Medidas técnicas que ayudan

Los procedimientos se refuerzan con medidas técnicas que reducen la probabilidad de que el correo fraudulento llegue siquiera, o que lo haga sin avisos:

  • Protección del correo: filtros antiphishing y antisuplantación, y la configuración de autenticación de dominio que dificulta que alguien se haga pasar por tu empresa.
  • Avisos de correo externo: marcar visualmente los mensajes que vienen de fuera de la organización ayuda a detectar suplantaciones.
  • Doble factor de autenticación (MFA): evita que, si roban una contraseña, el atacante acceda a una cuenta real para enviar correos «desde dentro».
  • Equipos protegidos y actualizados: un endpoint bien gestionado reduce el riesgo de que una cuenta acabe comprometida.

En 3L Systems abordamos estas capas dentro de nuestros servicios de protección de equipos y de conexiones seguras, que ayudan a cerrar las puertas técnicas por las que entra (o se amplifica) este tipo de fraude. Conviene tener claro que ninguna herramienta elimina el riesgo al 100 %: son una capa más que solo funciona bien acompañada de procedimientos y formación.

Formación: la mejor defensa es un equipo alerta

Como el fraude del CEO ataca a las personas, la formación y la concienciación son tan importantes como cualquier tecnología. No se trata de convertir a la plantilla en expertos en seguridad, sino de que interioricen unas pocas señales de alerta y un reflejo básico: ante una petición de dinero urgente y confidencial, parar y verificar.

Una cultura de seguridad sana incluye que cualquiera pueda preguntar sin miedo. El empleado que llama a su director para confirmar una transferencia no está siendo desconfiado ni torpe: está haciendo bien su trabajo. Cuando esa actitud se normaliza, el ataque pierde su mejor aliado, que es el temor a cuestionar a un superior. Repasar ejemplos reales, hacer simulacros y recordar el procedimiento de forma periódica mantiene al equipo alerta sin alarmismo.

Qué hacer si crees que has sido víctima

Si sospechas que se ha producido o materializado un fraude, la rapidez es decisiva. A grandes rasgos: contacta de inmediato con tu banco para intentar detener o recuperar la transferencia, denuncia ante las Fuerzas y Cuerpos de Seguridad del Estado, conserva todas las pruebas (correos, justificantes, comunicaciones) y revisa si alguna cuenta de correo ha sido comprometida para cerrar la brecha. Si necesitas ayuda para contener y analizar el incidente, contar con apoyo profesional especializado acelera la respuesta y limita el daño.

Preguntas frecuentes

¿Qué diferencia hay entre el fraude del CEO y el phishing normal?

El phishing suele ser un envío masivo que busca robar credenciales o instalar malware con un enlace o adjunto. El fraude del CEO es un ataque dirigido y sin malware: el estafador suplanta a un directivo o proveedor y, mediante ingeniería social, convence a una persona concreta para que ordene una transferencia o cambie unos datos bancarios. No hay virus que detectar; hay una conversación creíble que manipula a la víctima.

¿Cómo detecto un correo de fraude del CEO?

Señales habituales: urgencia y confidencialidad («no comentes esto con nadie»), una petición de pago o cambio de cuenta fuera del procedimiento normal, una dirección de remitente parecida pero no idéntica a la real, y presión para saltarse los pasos de siempre. Ante cualquiera de estas señales, lo correcto es verificar por un canal distinto antes de actuar.

¿Qué hago si ya he pagado a una cuenta fraudulenta?

Actúa rápido: contacta de inmediato con tu banco para intentar bloquear o recuperar la transferencia, denuncia ante las Fuerzas y Cuerpos de Seguridad y conserva todas las pruebas (correos, justificantes). Avisa internamente y revisa si las cuentas de correo han sido comprometidas. La rapidez en las primeras horas es decisiva, aunque la recuperación no está garantizada.

¿La doble verificación de pagos frena de verdad este fraude?

Es una de las medidas más eficaces. Exigir una segunda confirmación por un canal independiente (una llamada al número conocido del proveedor o del directivo, nunca al que figura en el correo sospechoso) para autorizar pagos altos o cambios de cuenta corta el ataque justo en el punto donde busca tener éxito. No es infalible por sí sola, pero combinada con formación y controles técnicos reduce mucho el riesgo.

¿Solo afecta a grandes empresas?

No. Las pymes son un objetivo frecuente precisamente porque suelen tener menos controles y procedimientos de pago menos formalizados. Cualquier organización que realice transferencias y use correo electrónico puede ser víctima, con independencia de su tamaño.

¿Quieres blindar tu empresa
frente al fraude del CEO?

Revisamos tus procedimientos de pago y la seguridad de tu correo, y formamos a tu equipo para detectar el engaño a tiempo. Primera consultoría gratuita y sin compromiso.

Habla con un experto Ver más artículos
info@3lsystems.es · Edificio Algón, Burjassot (Valencia)