Una sofisticada modalidad de fraude digital está poniendo en jaque a empresas de todos los tamaños este 2026. La Guardia Civil ha emitido una alerta sobre el incremento de casos de suplantación de identidad corporativa, una táctica criminal que aprovecha las relaciones comerciales habituales entre compañías para desviar importantes sumas de dinero hacia cuentas controladas por organizaciones delictivas. El método, conocido internacionalmente como business email compromise o compromiso de correo electrónico empresarial, representa una de las amenazas más peligrosas para el tejido empresarial español. La complejidad de esta estafa radica en que los ciberdelincuentes no actúan de forma impulsiva, sino que planifican meticulosamente cada movimiento durante semanas o incluso meses antes de ejecutar el fraude.
Los estafadores dedican tiempo considerable a estudiar a sus víctimas potenciales. Mediante técnicas de phishing, accesos no autorizados a sistemas de correo electrónico corporativo o simplemente analizando información disponible públicamente en redes sociales profesionales y páginas web corporativas, estos criminales consiguen mapear las relaciones comerciales entre empresas, conocer los montos habituales de facturación y hasta identificar a los empleados específicos que gestionan los pagos.
Anatomía del engaño corporativo
El modus operandi de esta estafa sigue un patrón claramente definido. Una vez que los delincuentes han recopilado suficiente información sensible, proceden a la fase de ejecución. El ataque comienza cuando la empresa víctima recibe un correo electrónico aparentemente legítimo de uno de sus proveedores habituales. La comunicación fraudulenta imita a la perfección el formato, logotipo, firma y estilo de redacción de la empresa proveedora real. En este mensaje, los estafadores solicitan el pago urgente de una factura pendiente, pero con un cambio crucial: indican que la transferencia debe realizarse a un número de cuenta bancaria diferente al utilizado habitualmente en la relación comercial.
Para dotar de mayor verosimilitud al engaño, el correo electrónico incluye explicaciones aparentemente razonables sobre el cambio de cuenta bancaria: problemas con la entidad financiera anterior, actualización de sistemas contables, fusiones empresariales o procedimientos de auditoría interna. Además, proporcionan un número de teléfono de contacto para resolver cualquier duda que pueda surgir.
Este último detalle resulta especialmente insidioso, ya que cuando la empresa víctima llama para verificar la autenticidad de la solicitud, quien responde al teléfono es otro miembro de la organización criminal, perfectamente preparado para reforzar la credibilidad del fraude y disipar cualquier sospecha que pueda tener el personal de administración de la empresa objetivo.
Consecuencias económicas y operativas
Las empresas que caen en esta trampa realizan la transferencia convencidas de que están cumpliendo con sus obligaciones comerciales habituales. Sin embargo, el dinero termina en cuentas bancarias controladas por las redes criminales, frecuentemente ubicadas en jurisdicciones extranjeras donde resulta extremadamente difícil rastrear los fondos o recuperarlos. Más allá del impacto financiero directo, estas estafas generan consecuencias adicionales: deterioro de la confianza entre socios comerciales, costes legales derivados de las investigaciones, tiempo de gestión dedicado a resolver el incidente y, en ocasiones, daño reputacional para ambas empresas involucradas en la relación comercial legítima.