La estafa del CEO (también llamada fraude BEC — Business Email Compromise) es un tipo de fraude en el que un estafador suplanta la identidad de un directivo de la empresa para ordenar transferencias bancarias urgentes. Es una de las estafas con mayor impacto económico: los importes suelen superar los 10.000 € y pueden alcanzar cientos de miles.

Si tu empresa ha sido víctima, el banco puede ser responsable de la pérdida.

Qué es la estafa del CEO

El estafador se hace pasar por el CEO, director financiero u otro alto cargo de la empresa y contacta a un empleado con capacidad para ordenar pagos — generalmente alguien de contabilidad o administración. Le pide que realice una transferencia urgente y confidencial a una cuenta controlada por los delincuentes.

La clave del engaño es la urgencia y la confidencialidad: el mensaje suele pedir que no se consulte con nadie más y que se haga de inmediato. El empleado, creyendo que obedece una orden legítima del directivo, ejecuta la transferencia.

Cómo funciona paso a paso

1. Investigación previa: los estafadores estudian la empresa — página web, LinkedIn, redes sociales, registro mercantil — para identificar quién manda y quién paga. Buscan nombres, cargos, direcciones de email y relaciones jerárquicas.

2. Suplantación de identidad: envían un email desde una dirección muy similar a la del directivo (por ejemplo, [email protected] en lugar de [email protected]) o incluso desde la cuenta real si han conseguido acceso mediante phishing previo.

3. La orden urgente: el mensaje pide una transferencia a una cuenta «del nuevo proveedor», «para cerrar una operación confidencial» o «para una adquisición en curso». Siempre con urgencia y con instrucciones de no comentarlo.

4. Ejecución: el empleado ordena la transferencia. Una vez el dinero sale, los estafadores lo mueven rápidamente a cuentas en el extranjero.

Variantes de la estafa del CEO

Email clásico: la variante más habitual. El estafador envía un correo electrónico suplantando al directivo.

WhatsApp o mensaje de texto: cada vez más frecuente. El estafador escribe por WhatsApp haciéndose pasar por el CEO, a menudo diciendo que «está en una reunión y no puede llamar».

Deepfake de voz: la variante más sofisticada y en auge. Los delincuentes usan inteligencia artificial para clonar la voz del directivo y realizar una llamada telefónica al empleado. La víctima reconoce la voz de su jefe y ejecuta la orden sin dudar. Ya se han documentado casos con pérdidas millonarias en Europa.

Factura del proveedor: en lugar de suplantar al CEO, suplantan a un proveedor real y envían una factura con los datos bancarios cambiados. El departamento de contabilidad paga a la cuenta del estafador creyendo que paga al proveedor legítimo.

¿Puede la empresa reclamar al banco?

Sí. Aunque la empresa sea persona jurídica, el banco tiene obligaciones de seguridad:

Verificación de beneficiario: la normativa europea de servicios de pago exige que el banco compruebe la coincidencia entre el nombre del beneficiario y el titular de la cuenta destino. Si no lo hace, es responsable.

Detección de operaciones inusuales: una transferencia por un importe muy superior al habitual, a un beneficiario nuevo en un país extranjero, debería activar los controles de seguridad del banco.

Colaboración en la recuperación: el banco tiene la obligación de actuar con diligencia para intentar recuperar los fondos. Si no inicia el procedimiento de retrocesión de forma inmediata, responde por la pérdida.

Los tribunales españoles han condenado a entidades bancarias por no detectar patrones sospechosos en transferencias derivadas de fraude BEC, aplicando criterios similares a los de phishing bancario.

Qué hacer si tu empresa ha sufrido esta estafa

1. Contacta con el banco inmediatamente para solicitar la retrocesión de la transferencia. Cada minuto cuenta: si el dinero aún no ha salido de la cuenta destino, se puede bloquear.

2. Denuncia ante la policía o Guardia Civil. Aporta los emails, capturas de WhatsApp, justificantes de transferencia y cualquier dato del estafador.

3. Conserva todas las evidencias: emails originales con cabeceras completas, mensajes de WhatsApp, registros de llamadas, y cualquier comunicación interna sobre la orden de pago.

4. Reclama al banco si no recupera los fondos o si consideras que no verificó adecuadamente la operación.

5. Consulta con un abogado para valorar la demanda contra el banco y, en su caso, contra los responsables del fraude.

Cómo prevenir la estafa del CEO en tu empresa

Protocolo de doble verificación: cualquier orden de pago superior a un umbral (por ejemplo, 3.000 €) debe confirmarse por un segundo canal. Si la orden llega por email, confirma por teléfono llamando al número habitual del directivo (no al que figure en el email sospechoso).

Formación de empleados: el personal con acceso a pagos debe conocer esta estafa y saber que ningún directivo legítimo pedirá saltarse los controles internos.

Seguridad del email corporativo: autenticación de dos factores, SPF, DKIM y DMARC para dificultar la suplantación.

Verificación de cambios de cuenta: si un proveedor comunica un cambio de cuenta bancaria, confirma siempre por teléfono con un contacto conocido.

¿Tu empresa ha sido víctima de la estafa del CEO?
Los importes suelen ser elevados y el banco puede responder. Analizo tu caso sin compromiso.

Jose Manuel Dominguez Gonzalez

José Manuel Domínguez González

Abogado en Madrid. Especializado en litigación civil, mercantil y contencioso-administrativa.

Colegiado ICAM nº 137.813