Fraude del CEO: qué es, cómo funciona y cómo actuar en 2025

Última actualización: 05/09/2025Escrito y revisado por: Diego Zapatero

El fraude del CEO es uno de los tipos de fraudes online que pueden poner en riesgo la estabilidad financiera de una empresa. Según el último Informe de la Autoridad Bancaria Europea, es una de las amenazas que más preocupan en la Unión Europea.

En Asoban Abogados, como especialistas en ciberestafas, veremos en detalle qué es el fraude del CEO y cómo evitarlo, en qué se diferencia con la estafa man in the middle o ataque de intermediario y las soluciones al fraude del CEO si tu empresa ya lo ha sufrido.

¿Qué es el fraude del CEO?

El fraude del CEO es una estafa en la que un atacante suplanta a un directivo por email o llamada y solicita, con urgencia y secreto, una transferencia o datos sensibles.

De esta forma, la estafa del CEO, también conocida como fraude del CEO BEC (Business Email Compromise), persigue que el empleado (en este caso, el CEO, CFO o gerente de la empresa) se salte los controles para ordenar pagos urgentes y desviar el dinero a las cuentas de los delincuentes.

El contacto suele llegar sobre todo por email, pero también por llamada o SMS y apela a la prisa y a la confidencialidad para que el empleado omita dichos controles.
Tanto el Instituto Nacional de Ciberseguridad (INCIBE) como Europol, indican que este fraude del CEO está dirigido a empleados con capacidad de pago o cambio del IBAN.

Cómo funciona la estafa del CEO en 4 pasos

La estafa del CEO tiene cuatro fases: la suplantación para recopilar datos, el mensaje urgente, romper la barrera de control y desvío de fondos con borrado previo de pruebas.

El atacante del fraude del CEO prepara un perfil verosímil: crea dominios y correos parecidos a los de la empresa, copia firmas y recoge información pública (organigramas, suplencias, viajes, calendario de cierres). Si antes ha comprometido un buzón, puede leer hilos reales y conocer facturas y IBAN legítimos.

La víctima de esta estafa del CEO recibe un correo o llamada con una orden de pago “para hoy” y bajo estricta confidencialidad. Aunque inicialmente se da el fraude del CEO por email, a veces se coordina una segunda llamada para dar apariencia de verificación y aumentar la presión. Por ejemplo, puede indicar en esa segunda llamada que “habla desde el banco o el proveedor”.

El mensaje que envia el estafador de este fraude CEO pide no seguir el circuito de aprobación habitual, no copiar a terceros y cambiar la cuenta de abono de un proveedor. El objetivo es romper las barreras (doble firma, verificación de IBAN, controles de tesorería).

Una vez realizada la transferencia, el dinero se fragmenta y mueve a otras cuentas (a veces en el extranjero). Si hubo acceso al correo, los atacantes eliminan trazas en el buzón para demorar la detección.

Cómo prevenir el fraude del CEO como empleado de finanzas: señales de alerta

Para prevenir el fraude del CEO como empleado de finanzas, deberás tener en cuenta estas señales de alerta:

Órdenes de pago inusuales o solicitudes de cambio de cuenta en facturas habituales.
Mensajes recibidos fuera del horario laboral o en vísperas de festivos o cierres contables.
Remitentes con direcciones de correo muy similares a las reales (dominios falsos que imitan al original), números de teléfono internacionales o pequeños errores tipográficos.
Peticiones de confidencialidad (“no copies a nadie”) acompañadas de un tono de urgencia.
Conversaciones reales en las que, de repente, aparece un nuevo IBAN sin justificación.
Uso de dos canales coordinados (por ejemplo, correo electrónico y llamada telefónica) para presionar y forzar la ejecución del pago.

Pasos para evitar el fraude al CEO

Además de estar alerta para prevenir, existen diferentes soluciones al fraude del CEO a la hora de evitarlo como hacer doble verificación, activar la autenticación de dos factores en el correo y crear listas rojas de emails no habituales.

Verificación por doble canal: ante pagos inusuales, confirma siempre la orden a través de un teléfono interno o chat corporativo, utilizando datos del directorio oficial (nunca los del mensaje recibido).
Doble firma y control interno: toda transferencia extraordinaria debe contar con dos aprobaciones y la validación del IBAN mediante la documentación del proveedor.
Seguridad en el correo: activa la verificación en dos pasos (2FA), revisa reglas de reenvío y aplica protocolos como SPF, DKIM y DMARC para reducir el riesgo de spoofing, phishing y spam.
Listas blancas y rojas: cualquier cambio en cuentas bancarias debe revisarse y contrastarse con el contacto habitual registrado del proveedor.
Formación continua: organiza sesiones periódicas y simulacros para equipos de finanzas, compras y dirección sobre spear phishing y whaling.
Exposición mínima: limita la publicación de organigramas, suplencias o viajes de la alta dirección para no dar pistas a los atacantes.
Recursos oficiales: el INCIBE ofrece guías útiles y un canal directo de ayuda en el 017 o en el correo incidencias@incibe-cert.es.

Estafa man in the middle (ataque de intermediario): diferencias con la estafa del CEO BEC

La estafa man in the middle o ataque de intermediario no es lo mismo que el fraude del CEO BEC, aunque puede facilitarlo. En el man in the middle, un atacante se interpone entre dos partes (por ejemplo, entre la empresa y proveedor) para espiar o modificar comunicaciones legítimas. De esta manera, el estafador puede cambiar un IBAN en una factura real sin suplantar a un directivo.

Soluciones al fraude del CEO: qué hacer si ya has caído

Si ya has caído en esta estafa, existen soluciones al fraude del CEO que debes poner en marcha inmediatamente como contactar con el banco, aislar el incidente, guardar pruebas y realizar la denuncia ante la Policía.

Contacta de inmediato con tu banco para intentar bloquear la operación o recuperar el dinero.
Aísla el incidente cambiando contraseñas, revisando reglas de correo y cerrando sesiones abiertas.
Conserva todas las pruebas: cabeceras de los emails, números de teléfono, justificantes, IBAN y capturas de pantalla.
Denuncia cuanto antes ante la Policía o la Guardia Civil y comunica el caso al INCIBE.
Busca asesoramiento legal especializado: un abogado experto puede ayudarte a emprender acciones legales y aumentar las posibilidades de recuperar lo perdido.

¿El banco se hace responsable del fraude del CEO? Lo que dice el Código Penal

Si las entidades de pago, que deben aplicar medidas de autenticación y monitorización para detectar operaciones anómalas, no siguen los protocolos de seguridad, podrían incurrir en negligencia y debería devolver la cantidad estafada a la víctima del fraude del CEO. Sin embargo, la posible responsabilidad se analiza caso por caso, atendiendo a la diligencia de todos los intervinientes y a las prueba que dispongan (tiempos de reacción, alertas, controles, comunicaciones, etc.).

La calificación penal habitual es la estafa según el artículo 248 del Código Penal (CP). Si hay manipulación de sistemas o datos, puede concurrir estafa informática; y, cuando exista suplantación de la identidad, podría valorarse usurpación del estado civil (según el artículo 401 de dicho CP). Tras la denuncia, conviene trazar la ruta del dinero, activar medidas de recobro y estudiar acciones civiles o penales según el caso y la prueba disponible.

Tras el fraude del CEO, conviene conservar correos íntegros, órdenes de transferencia, políticas internas y correos de aprobación.

¿Tu entidad bancaria no quiere devolverte los fondos robados por el fraude del CEO?

Contáctanos sin compromiso y analizamos tu caso gratis en la primera llamada.

Hablar con un abogado especializado

Preguntas frecuentes sobre el fraude del CEO

El fraude BEC (Business Email Compromise) es una estafa digital en la que los delincuentes se hacen pasar por directivos, socios comerciales o proveedores de confianza para engañar a empleados de una empresa. Su objetivo es lograr transferencias de dinero a cuentas falsas o el acceso a datos sensibles. Este tipo de ataque combina ingeniería social y técnicas de suplantación para que los correos parezcan reales y difíciles de detectar.

Por normal general, los casos de fraudes más comunes en empresas son el fraude del CEO (también conocida como estafa del CEO) y el fraude del proveedor. En algunos casos aparece el man in the middle o ataque de intermediario que altera los datos de pago.

El phishing fraude de gerente es una modalidad de whaling (es decir, un ciberataque dirigido a altos ejecutivos en empresas). Se suelen enviar mensajes que imitan a un gerente o directivo para pedir un pago urgente o información sensible.

El fraude del CEO busca manipular a empleados de confianza para que realicen transferencias de dinero a cuentas fraudulentas o entreguen información sensible de la empresa. Para lograrlo, los estafadores se hacen pasar por altos directivos, utilizando técnicas de suplantación y presión psicológica que hacen que la petición parezca legítima y urgente.

Se conocen como whaling o “caza de ballenas”, un tipo de phishing dirigido a CEO’s y directivos. Los delincuentes suplantan su identidad mediante correos o mensajes que parecen legítimos para obtener transferencias bancarias o información confidencial de gran valor.

No, no es cierto que la Policía Europol manda email. Desconfía si recibiste comunicaciones que aparentan ser de esta institución. Según sus fuentes oficiales, nunca enviarán ni correos electrónicos ni mensajes de texto. Existen estafas con correspondencia falsa de Europol, por lo que deberás verificar siempre en canales oficiales y no realizar pagos ni enviar documentación por esa vía.

Sobre el autor: