Si recibes un correo electrónico indicando que tu proveedor ha cambiado de cuenta bancaria y realizas la transferencia al nuevo IBAN, es muy probable que hayas sido víctima de un fraude por cambio de IBAN en factura, también conocido como BEC (Business Email Compromise). El problema no termina ahí: cuando el proveedor real te reclame el pago, descubrirás que legalmente puedes estar obligado a pagar dos veces. Este tipo de estafa por cambio de cuenta bancaria por email afecta cada año a miles de empresas en España. En esta guía, un abogado penalista analiza qué delitos se cometen, quién responde de la pérdida y qué hacer en las primeras horas para intentar recuperar el dinero.
Tabla de contenidos
Cómo funciona el fraude del cambio de IBAN por email (BEC o Business Email Compromise)
El fraude por cambio de IBAN en factura, conocido internacionalmente como BEC (Business Email Compromise), sigue un patrón que se repite caso tras caso. Un ciberdelincuente accede al servidor de correo de una empresa, normalmente mediante phishing o contraseñas débiles, y monitoriza las comunicaciones entre proveedor y cliente. Cuando detecta que hay una factura pendiente de pago, interviene de alguna de estas formas:
- Interceptación directa (man in the middle): el atacante modifica el IBAN que aparece en el correo o en el PDF de la factura antes de que llegue al destinatario. El email procede de la dirección real del proveedor porque el servidor está comprometido.
- Suplantación del remitente (email spoofing): el atacante envía un correo desde una dirección casi idéntica a la del proveedor, cambiando una letra o el dominio (por ejemplo, proveedor-es.com en lugar de proveedor.es), comunicando un supuesto cambio de cuenta bancaria.
- Dominio clonado (typosquatting): el delincuente registra un dominio muy parecido al del proveedor y envía la factura con datos de pago alterados desde esa dirección.
El resultado es siempre el mismo: la empresa paga a un IBAN que no pertenece al proveedor real. El dinero llega a una cuenta controlada por el estafador y, en la mayoría de los casos, se transfiere inmediatamente a cuentas en el extranjero. El fraude se descubre días o semanas después, cuando el proveedor legítimo reclama el pago de una factura que, según sus registros, sigue pendiente.
El término Business Email Compromise (BEC) engloba todas estas variantes. Se diferencia del phishing convencional en que no busca robar contraseñas al usuario final, sino interceptar o suplantar comunicaciones comerciales reales para desviar pagos legítimos. El fraude del CEO es una variante próxima en la que el atacante se hace pasar por un directivo de la propia empresa para ordenar una transferencia urgente. En ambos casos, el mecanismo nuclear es el mismo: un correo fraudulento que altera los datos de pago.
El Instituto Nacional de Ciberseguridad (INCIBE) ha alertado reiteradamente sobre el incremento de este tipo de ataques, que afectan tanto a grandes corporaciones como a pymes y autónomos. El Banco de España también ha publicado guías específicas sobre este fraude.
Qué delitos se cometen en la estafa BEC del cambio de IBAN
El fraude del cambio de IBAN no encaja en un solo tipo penal. Dependiendo de la modalidad empleada por el atacante, pueden concurrir varios delitos del Código Penal:
- Estafa (art. 248 y 249 CP): es el tipo principal. El engaño bastante consiste en suplantar la identidad del proveedor o manipular la factura para inducir a error al pagador, provocando una disposición patrimonial en perjuicio propio. Las penas oscilan entre seis meses y tres años de prisión cuando la cuantía defraudada supera los 400 euros, y pueden alcanzar los seis años si concurren circunstancias agravantes. Puedes consultar nuestra guía completa sobre las penas en el delito de estafa.
- Estafa informática (art. 248.2 CP): cuando la manipulación se produce mediante la alteración de datos informáticos, programas o documentos electrónicos para conseguir una transferencia no consentida de activos patrimoniales. Es la modalidad más frecuente en los ataques man in the middle.
- Suplantación de identidad y acceso ilícito a sistemas informáticos (art. 197 bis CP): el acceso no autorizado al servidor de correo del proveedor o del cliente constituye un delito autónomo contra la intimidad, con penas de prisión de seis meses a dos años.
- Falsedad en documento privado (art. 395 y 396 CP): la manipulación de la factura o del certificado de titularidad bancaria adjunto al correo puede integrar este tipo penal, especialmente cuando se alteran documentos mercantiles con trascendencia jurídica. Ampliamos esta cuestión en nuestra página sobre falsedad en documento privado.
- Blanqueo de capitales (art. 301 CP): las cuentas receptoras suelen pertenecer a redes de muleros que fragmentan y transfieren el dinero a jurisdicciones opacas. El uso de estas estructuras puede dar lugar a responsabilidad penal por blanqueo de capitales.
Esta concurrencia de tipos penales es relevante porque permite ampliar las líneas de investigación y, en su caso, las posibilidades de decomiso y recuperación de fondos.
¿Tengo que pagar dos veces si he transferido al IBAN falso?
Esta es la pregunta que se hace todo empresario que ha caído en esta estafa, y la respuesta jurídica es menos favorable de lo que muchos esperan.
Regla general (art. 1162 del Código Civil): el pago debe hacerse al acreedor o a persona autorizada para recibirlo. Si el dinero no llega al patrimonio del proveedor real, la deuda sigue viva. El estafador no es acreedor ni representante autorizado.
El Código Civil contempla dos excepciones que podrían liberar al pagador, pero los tribunales las aplican de forma muy restrictiva en casos de fraude por cambio de IBAN:
Primera excepción: pago convertido en utilidad del acreedor (art. 1163 CC). El pago a un tercero es válido si se convierte en beneficio del acreedor. En el fraude de IBAN, esto no se cumple: el dinero va a una cuenta del estafador y nunca entra en el patrimonio del proveedor.
Segunda excepción: pago de buena fe al acreedor aparente (art. 1164 CC). El pago hecho de buena fe a quien aparenta estar en posesión del crédito libera al deudor. Sin embargo, el Tribunal Supremo ha fijado un estándar muy exigente para aplicar este precepto.
STS 642/2021, de 28 de septiembre (Sala 1.ª Civil, ECLI:ES:TS:2021:3522): el Tribunal Supremo establece que no basta la buena fe subjetiva (creer que se paga al acreedor); es necesaria una apariencia objetiva acreditable de que quien recibe el pago está en posesión del crédito. Un correo electrónico con un IBAN diferente no genera, por sí solo, esa apariencia.
La consecuencia práctica es clara: en la mayoría de los casos, si has pagado al IBAN del estafador, el proveedor puede exigirte que pagues otra vez. Tu reclamación económica queda contra el estafador, a través de la vía penal y civil, pero la deuda comercial con el proveedor permanece.
Cuándo el pagador tiene más opciones de defensa
Existe un escenario en el que la posición del pagador mejora significativamente: cuando el correo electrónico del proveedor estaba comprometido y la instrucción fraudulenta procedía de la dirección real del proveedor, dentro del hilo de conversación legítimo, con firma y formato idénticos.
En estos supuestos, varios tribunales han valorado la existencia de culpa concurrente del proveedor, aplicando los artículos 1104 (diligencia exigible) y 1258 del Código Civil (buena fe contractual). Si el proveedor impuso el correo electrónico como canal exclusivo de comunicación, no implementó medidas de seguridad básicas en su servidor y la brecha se produjo en su infraestructura, puede discutirse un reparto del daño.
La diferencia entre que el email fuera parecido (dominio clonado, detectable con diligencia ordinaria) o real (servidor hackeado, indistinguible para el pagador) es determinante en el resultado del litigio.
Responsabilidad del banco: el criterio del Tribunal Supremo y el nuevo Reglamento europeo
Muchos afectados creen que el banco debería haber detenido la transferencia al comprobar que el nombre del beneficiario no coincidía con el titular de la cuenta de destino. Hasta octubre de 2025, el Tribunal Supremo daba la razón a las entidades. Ahora, la situación ha cambiado.
STS 507/2025, de 27 de marzo (Sala 1.ª Civil, ECLI:ES:TS:2025:1294): bajo la normativa anterior, el proveedor de servicios de pago cumplía ejecutando la transferencia conforme al identificador único (IBAN), sin obligación de verificar la coherencia con el nombre del beneficiario. Sí tenía el deber posterior de realizar esfuerzos razonables de recuperación.
Cambio normativo clave — Reglamento (UE) 2024/886, en vigor desde el 9 de octubre de 2025: las entidades bancarias están ahora obligadas a verificar que el nombre del beneficiario coincide con el titular del IBAN antes de ejecutar transferencias instantáneas. Si no realizan esa verificación o no advierten al ordenante de la discrepancia, la responsabilidad es directa y el banco debe reembolsar el importe. Este cambio abre una nueva vía de reclamación para las víctimas de fraude BEC que antes no existía.
La consecuencia práctica es que, para transferencias instantáneas realizadas después de octubre de 2025, el banco ya no puede escudarse en que ejecutó conforme al IBAN. Si no verificó la coincidencia con el titular, responde. Para transferencias ordinarias (no instantáneas), el criterio de la STS 507/2025 sigue siendo aplicable, aunque la tendencia jurisprudencial apunta a extender la misma exigencia. Conviene distinguir este supuesto del phishing bancario clásico, donde el banco responde por no verificar la identidad del ordenante, materia que abordamos en nuestra guía sobre ciberdelitos y estafas online.
Qué hacer en las primeras 24-72 horas si has sido víctima de un BEC
La rapidez de actuación es decisiva. Si sospechas que has sido víctima de un fraude por cambio de cuenta bancaria o Business Email Compromise, sigue estos pasos de forma inmediata:
1. Contacta con tu banco (ya). Solicita el recall o retrocesión de la transferencia y el rastreo interbancario. Si actúas en las primeras horas, existe la posibilidad de que el banco receptor retenga los fondos antes de que sean movilizados.
2. Preserva toda la evidencia. Guarda el correo electrónico completo con cabeceras técnicas (headers), la factura recibida, el justificante bancario de la transferencia, capturas de pantalla de todo el hilo de comunicaciones y cualquier mensaje de WhatsApp o llamada relacionada con la operación.
3. Notifica al proveedor real. Comunica formalmente por escrito que has recibido instrucciones de pago desde su canal habitual, que sospechas un compromiso de su servidor de correo y que solicitas la preservación de logs de acceso. Esta notificación es fundamental para una eventual discusión sobre culpa concurrente.
4. Presenta denuncia penal. Acude a la Policía Nacional o Guardia Civil con todos los datos: correos, facturas, datos bancarios del beneficiario fraudulento, cronología de los hechos. La denuncia por estafa (art. 248 CP), acceso ilícito (art. 197 bis CP) y, en su caso, falsedad documental, activará la investigación judicial y la cooperación bancaria.
5. Solicita un informe pericial informático. Un perito forense digital puede analizar las cabeceras del correo, determinar si se trató de spoofing, man in the middle o cuenta comprometida, e identificar la IP de origen. Este informe será la prueba clave tanto en la vía penal como en la civil.
Cómo distinguir un email suplantado de un email hackeado: por qué cambia tu caso
Esta distinción es la que marca la diferencia en un procedimiento judicial. Las consecuencias jurídicas varían según el tipo de ataque:
Email suplantado (dominio clonado o spoofing): el atacante envía el correo desde una dirección que se parece a la del proveedor pero no es la real. Si el pagador hubiera examinado el remitente con un mínimo de atención, habría detectado la diferencia. En sala, esto se interpreta como un déficit de diligencia del pagador. El proveedor suele ganar la reclamación civil.
Email desde cuenta real comprometida: el atacante opera desde el buzón auténtico del proveedor, dentro del hilo legítimo, con firma y formato reales. Aquí la apariencia es indistinguible para el pagador. Los tribunales valoran el riesgo organizativo del proveedor que no aseguró su infraestructura, lo que abre la puerta a la culpa concurrente y al reparto del daño entre las partes.
La prueba que decide todo es el análisis de las cabeceras técnicas del correo electrónico (registros SPF, DKIM, DMARC), los logs del servidor del proveedor y la cronología de accesos. Sin esta evidencia técnica, resulta muy difícil determinar la modalidad del ataque y, con ello, la distribución de responsabilidades.
La prueba digital en el fraude de IBAN: qué necesita tu abogado
Un caso de estafa por cambio de cuenta bancaria se gana o se pierde en función de la prueba digital. Estos son los elementos que deben preservarse desde el primer momento:
- Correo electrónico íntegro con cabeceras (headers): no basta con una captura de pantalla del cuerpo del mensaje. Las cabeceras técnicas contienen la ruta completa del correo, las verificaciones SPF/DKIM/DMARC y los servidores por los que ha transitado. Esto permite determinar si hubo interceptación.
- Factura original y factura manipulada: los metadatos del archivo PDF revelan la fecha de creación, la última modificación y, en ocasiones, el software utilizado para la edición. Una factura manipulada tendrá metadatos diferentes a los del documento original.
- Justificante bancario de la transferencia: acredita la fecha, hora, importe, IBAN de destino y concepto de la operación.
- Comunicaciones previas con el proveedor: todo el historial de emails, WhatsApps y llamadas que acredite cuál era el canal habitual de comunicación y si existía un protocolo de verificación para cambios de cuenta.
- Logs del proveedor: registros de acceso al servidor de correo, cambios de contraseña, reglas de reenvío automático creadas por el atacante y cualquier indicador de compromiso.
En nuestra experiencia, muchos casos se pierden porque la evidencia digital no se preservó correctamente en las primeras horas. La cadena de custodia es esencial para que la prueba sea admitida en juicio.
Estrategia legal: vía penal, civil o ambas
El afectado por un fraude de factura con IBAN falso tiene varias vías de actuación que, en la práctica, suelen combinarse:
Vía penal (contra el estafador): la denuncia o querella por estafa, acceso ilícito a sistemas informáticos y falsedad documental activa la investigación policial y judicial. El Juzgado de Instrucción puede acordar el bloqueo de cuentas, solicitar cooperación internacional y recabar información bancaria que el particular no puede obtener por sí mismo.
La acción penal es especialmente útil cuando el estafador puede ser identificado o cuando los fondos se han movido a cuentas rastreables. También permite la personación como acusación particular, solicitando la responsabilidad civil derivada del delito.
Vía civil (entre pagador y proveedor): cuando el proveedor reclama el pago, el pagador puede oponer culpa concurrente si la brecha de seguridad se produjo en la infraestructura del proveedor. La base jurídica se encuentra en los artículos 1162 a 1164 del Código Civil y en la jurisprudencia del Tribunal Supremo sobre el efecto liberatorio del pago a tercero.
Reclamación frente al banco: aunque el margen es limitado tras la STS 507/2025, sigue siendo viable si la entidad no realizó los esfuerzos razonables de recuperación o si incumplió algún deber de diligencia específico en la ejecución de la orden. Resulta relevante la normativa de servicios de pago (Real Decreto-ley 19/2018) y, especialmente, el Reglamento (UE) 2024/886, en vigor desde el 9 de octubre de 2025, que obliga a las entidades a verificar la coincidencia entre el IBAN y el nombre del beneficiario en transferencias instantáneas. Si el banco no realizó esa verificación o no advirtió de la discrepancia, su responsabilidad es ahora directa.
Cómo prevenir el fraude BEC del cambio de IBAN en tu empresa
La prevención es siempre más eficaz que la reacción. Estas medidas reducen drásticamente el riesgo de sufrir este tipo de estafa:
- Verificación telefónica obligatoria: ante cualquier comunicación que indique un cambio de cuenta bancaria, confirma siempre por teléfono (al número que ya tengas registrado, nunca al que aparezca en el correo sospechoso).
- Protocolo interno de pagos: establece un procedimiento escrito que exija doble autorización para transferencias superiores a un importe determinado y verificación independiente del IBAN antes de ejecutar el pago.
- Seguridad del correo electrónico: activa la verificación en dos pasos (2FA) en todas las cuentas de correo corporativo. Implementa registros SPF, DKIM y DMARC en tu dominio para dificultar la suplantación.
- Formación del equipo: los empleados que gestionan pagos deben conocer este tipo de fraude y saber identificar señales de alerta como cambios de IBAN, urgencia injustificada, errores ortográficos o dominios ligeramente diferentes.
- Revisión periódica de accesos: audita regularmente los accesos al servidor de correo, las reglas de reenvío automático y los dispositivos autorizados.
Preguntas frecuentes sobre el fraude del cambio de IBAN
¿Me han mandado un correo para que pague en otra cuenta, qué hago?
No pagues. Antes de realizar cualquier transferencia, contacta con tu proveedor por teléfono al número que tengas registrado previamente y confirma si realmente ha cambiado de cuenta. Si ya has pagado, contacta inmediatamente con tu banco para solicitar la retrocesión de la transferencia y presenta denuncia.
¿Si pago al IBAN falso, se entiende pagada la deuda con mi proveedor?
En la mayoría de los casos, no. El artículo 1162 del Código Civil establece que el pago debe hacerse al acreedor o a persona autorizada. El estafador no es ninguna de las dos cosas. Tu proveedor puede reclamarte el importe y tu acción queda contra el estafador. Solo en supuestos excepcionales, cuando el correo procedía del servidor real del proveedor y este fue negligente con su seguridad, se puede discutir un reparto de la pérdida.
¿Es responsable el banco por no verificar el nombre del beneficiario?
Según el criterio del Tribunal Supremo (STS 507/2025), bajo la normativa anterior el banco cumplía ejecutando la transferencia conforme al IBAN, sin obligación de verificar la coherencia con el nombre del beneficiario. Sin embargo, desde el 9 de octubre de 2025, el Reglamento (UE) 2024/886 obliga a las entidades a verificar la coincidencia entre IBAN y titular en transferencias instantáneas. Si el banco no realizó esa comprobación o no advirtió al ordenante de la discrepancia, su responsabilidad es ahora directa y debe reembolsar el importe.
¿Qué es el BEC (Business Email Compromise) y en qué se diferencia del phishing?
El BEC (Business Email Compromise) es un tipo de fraude empresarial en el que el atacante suplanta a un proveedor, cliente o directivo mediante correo electrónico para desviar pagos a cuentas que controla. Se diferencia del phishing convencional en que no busca robar contraseñas al usuario, sino interceptar o manipular comunicaciones comerciales reales. El man in the middle es la variante técnica donde el atacante se sitúa entre las dos partes y altera los datos de pago sin que ninguna lo detecte. El fraude del CEO es otra variante del BEC donde el atacante se hace pasar por un directivo de la empresa para ordenar transferencias urgentes. Todas estas modalidades comparten un elemento común: el engaño por correo electrónico que conduce a un pago a cuenta fraudulenta.
¿Puedo recuperar el dinero si denuncio rápido?
La posibilidad existe, pero depende de la velocidad de actuación. Si contactas con tu banco en las primeras horas, este puede solicitar al banco receptor la retención de los fondos. Si el dinero ya ha sido transferido a otras cuentas o al extranjero, la recuperación se complica enormemente. La denuncia penal permite al juzgado acordar medidas cautelares de bloqueo, pero los tiempos judiciales no siempre son compatibles con la rapidez de los estafadores.
¿Qué penas tiene este delito?
La estafa básica (art. 249 CP) conlleva prisión de seis meses a tres años cuando la cuantía supera los 400 euros. Si se emplean medios informáticos que dificultan la identificación del delincuente o se trata de importes significativos, la pena puede elevarse a uno a seis años de prisión. El acceso ilícito al sistema informático se castiga con seis meses a dos años adicionales. Si hay organización criminal, las penas se agravan aún más. Puedes consultar el detalle en nuestra página sobre penas en el delito de estafa.
¿Necesito un abogado penalista o un abogado civilista?
Lo ideal es un abogado que maneje ambas vías. La acción penal investiga el fraude e identifica al estafador; la civil resuelve quién soporta la pérdida económica entre pagador, proveedor y banco. En Sanahuja Abogados combinamos la defensa penal con la estrategia de reclamación civil y bancaria, coordinando peritos informáticos y financieros desde el primer momento.
¿Qué es el recall bancario y cuánto tarda?
El recall es la solicitud formal de retrocesión de una transferencia ya ejecutada. El banco ordenante contacta al banco receptor para pedir la devolución de los fondos. No es un derecho automático: el banco receptor solo puede retener los fondos si el titular de la cuenta de destino no se opone. En la práctica, los estafadores vacían las cuentas en minutos u horas, por lo que la efectividad del recall depende de la velocidad con la que se active.
¿Y si la estafa afecta a una operación inmobiliaria o compraventa de alto importe?
Las compraventas de inmuebles y vehículos son objetivos frecuentes precisamente por los importes elevados. El procedimiento legal es el mismo, pero la urgencia y la cuantía justifican medidas cautelares inmediatas y una actuación penal reforzada. En estos supuestos conviene acudir a un abogado especializado en delitos económicos con experiencia en trazabilidad bancaria.
¿Puede ser delito si un empleado de la empresa facilita los datos al estafador?
Sí. Si un empleado facilita deliberadamente el acceso al servidor de correo o proporciona información sobre facturas pendientes, podría responder como cooperador necesario en la estafa o, en su caso, como autor de un delito de administración desleal o revelación de secretos. El peritaje informático puede determinar el origen interno del compromiso.
¿Necesitas un abogado especialista en fraude BEC y cambio de IBAN?
En Sanahuja Abogados Penalistas intervenimos en procedimientos por Business Email Compromise (BEC) y fraude de factura con IBAN falso tanto en la vía penal (denuncia, querella, personación como acusación particular) como en la civil (reclamación entre pagador, proveedor y banco). Coordinamos la actuación con peritos informáticos forenses para preservar la prueba digital desde el primer momento.
Actuamos desde nuestras sedes en Valencia, Madrid y Castellón, con servicio de urgencias penales 24 horas para los casos que requieren actuación inmediata. Contacta con nosotros para una valoración de tu caso.
