Ciberestafas en el entorno empresarial: riesgos emergentes y nuevas medidas de protección

Ainhoa Sagardia

Abogada Área Legal

Phishing, smishing y otras técnicas de suplantación siguen en aumento. El nuevo sistema de verificación del Banco de España introduce un control adicional en las transferencias bancarias para reforzar la seguridad.

En un mundo cada vez más digitalizado, las ciberestafas son cada vez más sofisticadas gracias al uso de inteligencia artificial y técnicas de ingeniería social, afectando no sólo a particulares, sino sobre todo a empresas que se han convertido en un objetivo prioritario de los ciberdelincuentes, cuyas consecuencias implican una pérdida cuantiosa además de un daño reputacional.

Entre las más comunes se encuentran el phishing, el smishing y el vishing, modalidades que combinan ingeniería social con tecnología para alcanzar la estafa y cuyas notas principales son las siguientes:

• Phishing: Consiste en el envío de correos electrónicos fraudulentos que simulan provenir de entidades legítimas (bancos, proveedores, organismos públicos) con el objetivo de obtener credenciales, datos bancarios o realizar transferencias no autorizadas.
• Smishing: Variante del phishing que utiliza mensajes SMS para engañar al receptor. Suelen incluir enlaces maliciosos o solicitudes urgentes que incitan a actuar sin verificar la autenticidad del remitente.
• Vishing: Estafa telefónica en la que el atacante se hace pasar por un representante de una entidad oficial o empresa para obtener información sensible o convencer al interlocutor de realizar acciones comprometedoras.
• Estafa del CEO y deepfakes: suplantación de identidad de altos cargos mediante correos, audios o vídeos falsos para ordenar transferencias fraudulentas.

Ante el incremento de estos fraudes y tras la entrada en vigor del Reglamento (UE) 2024/886, el Banco de España ha implementado una nueva medida de seguridad en las transferencias bancarias: la verificación del nombre del beneficiario.

Desde el 9 de octubre de 2025, los proveedores de servicios de pago (PSP) deberán ofrecer gratuitamente el servicio de verificación del beneficiario, que permite comprobar si el nombre del beneficiario coincide con el titular de la cuenta de destino, ayudando a dar más seguridad, prevenir fraudes y errores en las transferencias.

El sistema, ya disponible, permite que el banco del ordenante consulte al banco receptor si el nombre del beneficiario coincide con el IBAN. Las respuestas posibles son:

• ✅ Coincidente
• ⚠️ Casi coincidente (se muestra el nombre registrado)
• ❌ No coincidente
• ❓ No se pudo verificar

Es importante tener en cuenta, tal y como advierte el Banco de España que cuando el resultado de la verificación sea no coincidente o casi coincidente, si el usuario decide continuar con la ejecución de la transferencia, el dinero se enviará al IBAN indicado y los fondos podrían no llegar al beneficiario deseado. En estos casos, el proveedor de servicios de pago no será considerado responsable de la ejecución de la transferencia.

Conviene igualmente indicar que el servicio está igualmente disponible para pagos masivos o remesas, pudiendo el usuario eliminar los pagos no verificados y enviar solo los que autorice.

En cualquier caso, y con el objetivo de minimizar riesgos es conveniente:

• Actualizar los procedimientos de pago incluyendo la verificación del beneficiario como paso obligatorio.
• Formar al equipo financiero en detección de fraudes y uso de la nueva herramienta.
• Revisar contratos con proveedores para asegurar que los datos bancarios estén correctamente registrados.
• Establecer alertas internas para transferencias de alto importe o a nuevos destinatarios.