Cómo prevenir el fraude en facturas: tres comprobaciones antes de pagar un nuevo IBAN
El fraude en facturas es aburrido, sencillo y carísimo. Así evitas pagar al IBAN equivocado con tres comprobaciones rápidas y una regla de oro: llama siempre.
Le pides presupuesto a un nuevo proveedor. Unos días después recibes un correo con el IBAN y la solicitud de que transfieras el anticipo. Suena normal. Pero ¿cómo sabes que ese IBAN es correcto y que no ha sido modificado por alguien que está interceptando tus mensajes?
El fraude en facturas es una de las formas de ciberdelincuencia más aburridas, pero también de las más costosas para las pymes. Sin hackeos espectaculares, sin pantallas de ransomware. Solo un importe que va a parar al número de cuenta equivocado y desaparece para siempre. En este artículo te explicamos cómo evitarlo en pocos minutos, sin necesidad de instalar nada complicado.
Cómo funciona el fraude en facturas en la práctica
La variante más habitual se conoce como fraude del CEO o BEC (Business Email Compromise). El truco es casi siempre el mismo:
- Alguien accede al buzón de correo de un proveedor (o se hace pasar por ese proveedor usando un dominio casi idéntico, por ejemplo
provee-dor.esen lugar deproveedor.es). - Se intercepta o falsifica una factura real.
- Solo se modifica el IBAN. El resto de la factura es idéntico: logotipo, formato, número de VAT, todo parece correcto.
- Tú pagas. Unos días después, el proveedor real llama preguntando dónde está el dinero.
Para entonces, el dinero ya ha pasado por cuentas de terceros y se encuentra en el extranjero. Recuperarlo es prácticamente imposible.
Tres comprobaciones que deberías hacer siempre
No hace falta tener un departamento financiero para esto. Antes de cualquier pago que supere el importe que consideres relevante (nosotros solemos decir: 500 €), realiza estas tres verificaciones.
1. ¿El IBAN es técnicamente correcto?
Un IBAN incluye un cálculo de dígitos de control. Si alguien comete un error tipográfico en algún dígito, esto lo delata. Sin embargo, si un defraudador utiliza deliberadamente un IBAN válido, pasará la comprobación técnica sin problemas. Esta verificación detecta errores de escritura, no malas intenciones.
Aun así es útil: a partir de un IBAN puedes ver a qué banco y a qué país pertenece. Si tu proveedor lleva años en el mismo banco y de repente recibes un IBAN lituano que empieza por LT, algo no cuadra. Con nuestro verificador de IBAN lo descubres en dos segundos.
2. ¿El número de VAT corresponde al nombre de la empresa?
Con nuevos proveedores o ante importes elevados, conviene comprobar que el número de VAT realmente pertenece a la empresa que aparece en la factura. La base de datos europea VIES responde a esa pregunta. Nuestro verificador de VAT realiza esa comprobación por ti y muestra el nombre y la dirección que la administración tributaria tiene registrados. ¿No coincide con la factura? Llama, no respondas por correo.
3. ¿La dirección corresponde al código postal?
Puede parecer trivial, pero es una comprobación sorprendentemente eficaz contra facturas falsificadas. Con el verificador de código postal ves al instante si la dirección indicada existe y dónde se ubica. Una factura en la que el código postal no coincide con la dirección no merece más preguntas.
Verifica siempre los cambios por un segundo canal
La regla de oro: si un proveedor cambia su número de cuenta, llamas al teléfono conocido que ya tienes en tu administración. No al número que aparece al pie del correo (también puede haber sido manipulado). No por WhatsApp (fácil de suplantar). Llamas, con tu contacto habitual, y preguntas: "¿Es correcto que ahora tenéis un nuevo IBAN?"
Esa llamada de dos minutos ya ha ahorrado millones a muchísimas pymes. Conviértela en una norma interna y asegúrate de que todo el que realiza pagos la conoce.
Principio de los cuatro ojos para los pagos
La segunda regla: los pagos que superen un umbral deben ser siempre aprobados por otra persona. En prácticamente todos los sistemas bancarios modernos —Rabo, ING, ABN, Knab, bunq Pro— puedes configurar esto como segundo autorizador. Quien prepara el pago no puede aprobarlo él mismo. Otra persona revisa el IBAN antes de pulsar enviar.
Esto es especialmente útil porque el propio sistema obliga a hacer una pequeña pausa. Y en esa pausa, el 90 % de los casos de fraude quedan al descubierto, ya que la urgencia es el arma principal del estafador ("¿puede transferirse hoy mismo?").
Proteger el correo evita que tú seas el eslabón débil
Hasta ahora hemos hablado de cómo evitar que tú pagues a un defraudador. Pero también puede ocurrir al revés: un delincuente secuestra tu correo o se hace pasar por ti, y tus clientes acaban pagando en el número de cuenta equivocado. Eso destruye tanto la relación como tu reputación.
Las medidas técnicas que lo previenen se llaman SPF, DKIM y DMARC. Con estas tres juntas, el servidor de correo del destinatario puede verificar si un mensaje proviene realmente de tu dominio. Nosotros lo configuramos habitualmente para clientes pyme en nuestro servicio de seguridad de correo. En la mayoría de los casos, se resuelve en menos de un día.
Lista de comprobación para el lunes
- Establece un importe umbral a partir del cual siempre se realicen verificaciones adicionales.
- Activa el segundo autorizador en tu plataforma bancaria.
- Implanta la norma: ¿cambio de IBAN? Llamada telefónica a un número conocido, nunca solo por correo.
- Comprueba siempre a los nuevos proveedores con el verificador de IBAN, VAT y código postal antes del primer pago.
- Verifica que SPF, DKIM y DMARC estén correctamente configurados en tu propio dominio.
¿Quieres validar una factura ahora mismo? Empieza con nuestro verificador de IBAN y el verificador de VAT. Dos minutos de trabajo y tendrás la certeza de que el dinero llega a donde debe.
Volledige gids: Facturación para pymes de la oferta al cobro: la guía completa
Dit artikel is onderdeel van onze uitgebreide Boekhouding & facturatie-gids. Lees de pillar voor het complete plaatje.
Lees de pillar →