El auge del fraude BEC: precisión quirúrgica contra la pequeña empresa

La ciberdelincuencia en España ha evolucionado de los ataques masivos e indiscriminados hacia operaciones de alta precisión dirigidas a objetivos vulnerables. La Audiencia Provincial juzga ahora a una organización criminal compuesta por cinco ciudadanos de nacionalidad rumana, acusados de orquestar una compleja trama de estafas digitales contra pequeñas y medianas empresas (pymes) españolas.

Según la Fiscalía, que solicita penas superiores a los ocho años de prisión, el grupo operaba con gran movilidad dentro del territorio nacional. Su especialidad era el compromiso de correos corporativos (técnica conocida como BEC o Business Email Compromise) para interceptar comunicaciones financieras y desviar fondos legítimos hacia cuentas controladas por la red.

Infiltración y ataque: el método 'Man-in-the-Middle'

La investigación judicial, iniciada en Lugo, ha revelado un modus operandi basado en la paciencia y el análisis. Los atacantes no se limitaban a enviar correos masivos, sino que estudiaban a fondo la actividad de sus víctimas:

• Fase de monitorización: Infiltraban los servidores de correo de las empresas aprovechando brechas de seguridad.
• Análisis de tráfico: Leían silenciosamente la correspondencia para identificar proveedores, facturas pendientes y fechas de pago.
• Ejecución del fraude: En el momento crítico, interceptaban la factura legítima y la sustituían por una manipulada, cambiando únicamente el número de cuenta IBAN por uno fraudulento.

Este nivel de sofisticación permitía que el fraude pasara desapercibido hasta que el proveedor real reclamaba el impago, momento en el que el dinero ya había sido blanqueado.

Ingeniería documental y mulas bancarias

Para cerrar el círculo delictivo, la organización necesitaba cuentas bancarias donde recibir el dinero robado sin levantar sospechas. Aquí entraba en juego su capacidad de falsificación física y digital. Los acusados generaban identidades sintéticas de alta calidad para superar los controles KYC (Know Your Customer) de las entidades financieras.

Durante el registro policial en un piso franco de Málaga en marzo de 2024, los agentes incautaron un laboratorio de falsificación: ordenadores con software de edición, pasaportes y documentos de identidad de múltiples países europeos alterados, y dinero en efectivo. La banda insertaba fotografías de sus propios miembros en documentos ajenos para poder acudir físicamente a las sucursales o superar las verificaciones por videollamada.

Jerarquía criminal definida

El Ministerio Fiscal describe una estructura profesionalizada. Mientras un líder organizaba la logística, los desplazamientos y la extracción del efectivo, el resto de integrantes actuaba como ejecutores técnicos y "mulas", abriendo cuentas y moviendo el capital rápidamente para evitar el bloqueo bancario.

Cronología de la operación policial

El caso, que pone de relieve la vulnerabilidad digital del tejido empresarial español, siguió una línea de tiempo clara:

Primer semestre de 2023: Detección de patrones anómalos en transferencias B2B (entre empresas).

Agosto de 2023: Una Unión Temporal de Empresas (UTE) sufre el desvío de una transferencia importante tras recibir una factura manipulada, activando la investigación principal.

Marzo de 2024: La policía ejecuta la redada en Málaga, incautando las pruebas materiales y deteniendo a la cúpula operativa.

2025: Apertura de juicio oral. La Fiscalía busca no solo penas de cárcel, sino la restitución económica a las empresas afectadas, muchas de las cuales carecían de seguros contra ciberataques.