Skip to content
Caso de clienteTarifasSeguridadComparativaBlog

Europe

Americas

Oceania

Industria11 min de lectura

Datos bancarios falsos por IA: cómo detectarlos antes de pagar

Cómo los equipos de finanzas y cuentas por pagar detectan datos bancarios falsos generados por IA en fraudes de cambio de cuenta y BEC antes de pagar en España.

El equipo CheckFile
El equipo CheckFile·
Illustration for Datos bancarios falsos por IA: cómo detectarlos antes de pagar — Industria

Resumir este artículo con

Este artículo tiene fines informativos y no constituye asesoramiento legal ni normativo.

Un documento bancario falso generado por IA es hoy la pieza central de la mayoría de fraudes de cambio de datos bancarios que sufren las empresas españolas: el atacante compromete o suplanta el correo de un proveedor o directivo y adjunta un certificado de titularidad, un extracto o una carta con membrete que parece auténtico. El objetivo es que cuentas por pagar actualice el IBAN registrado y redirija el siguiente pago a una cuenta controlada por el defraudador.

Qué es el fraude de cambio de datos bancarios y cómo se conecta con el fraude del CEO

El fraude de cambio de datos bancarios consiste en solicitar la modificación del IBAN de un proveedor mediante un documento o correo fraudulento, normalmente combinado con la suplantación de identidad conocida como Business Email Compromise (BEC) o fraude del CEO. En 2024, el FBI registró 21.442 incidentes de BEC con pérdidas de 2.770 millones de dólares en todo el mundo, la segunda categoría de fraude más costosa tras el fraude de inversión, según el informe anual IC3 2024 del FBI.

El mecanismo combina ingeniería social y falsificación documental: el atacante accede al correo de un proveedor o lo intercepta mediante un ataque de intermediario ("man in the middle"), espera el momento oportuno — una factura pendiente, un cambio administrativo — y envía el nuevo IBAN junto a un documento bancario que respalde la solicitud. La Guardia Civil desarticuló en 2025 una red que operaba con esta técnica entre empresas, con un perjuicio superior a 1,58 millones de euros en los casos esclarecidos (Grupo de Delitos Telemáticos).

Cómo la IA genera el documento bancario falso que respalda la estafa

La IA generativa produce certificados de titularidad, capturas de banca online y cartas bancarias con membrete corporativo que superan la revisión visual en segundos. Los modelos de difusión reproducen logotipos y tipografías propietarias, mientras los modelos de lenguaje generan el texto — titular, IBAN, código BIC, sello, fecha — con coherencia interna total. La alternativa más simple, e igual de eficaz, es editar un documento real: el defraudador toma un certificado obtenido por phishing y sustituye solo el campo IBAN manipulando las capas internas del PDF.

Ambas vías dejan huellas que un control visual no detecta, pero sí un análisis forense de metadatos, como se describe en nuestro análisis sobre extractos bancarios falsificados con IA. El documento puede ser visualmente impecable y aun así presentar un software de creación incoherente con el banco declarado, una fecha de modificación posterior a la del documento o ausencia del perfil de color corporativo habitual — indicadores verificables de forma automatizada.

Señales de alerta que debe conocer el equipo de cuentas por pagar

Una solicitud de cambio de IBAN presenta habitualmente varias señales combinadas que elevan el nivel de riesgo de la operación.

¿Cómo saber si un cambio de datos bancarios es fraudulento?

Ningún indicador aislado confirma el fraude, pero la combinación de varios sí es determinante. El cambio llega por correo sin llamada previa, coincide con una factura de importe elevado y va acompañado de presión temporal ("actualícelo antes de esta transferencia"). El documento adjunto suele carecer de firma digital verificable, y el remitente responde desde una dirección casi idéntica a la habitual pero con una letra o dominio alterado.

¿Qué diferencia hay entre el fraude BEC y el fraude "man in the middle"?

El fraude BEC suplanta la identidad de un directivo o proveedor con un correo falso o un dominio parecido; el "man in the middle" compromete la cuenta de correo real del proveedor y modifica los mensajes en tránsito sin que nadie note la intrusión. En este segundo caso, el correo procede realmente de la dirección conocida, lo que dificulta detectarlo solo con controles de remitente.

Señal de alerta Riesgo Cómo verificarlo
Cambio de IBAN recibido solo por correo Alto Llamada al número ya registrado
Urgencia o amenaza de suspensión de servicio Alto Procedimiento estándar sin excepciones
Documento sin firma digital verificable Alto Verificación criptográfica y análisis de metadatos
Dominio de correo con una letra alterada Alto Comparación con el dominio histórico
Titular del certificado distinto al proveedor registrado Alto Cotejo con la ficha de proveedor y el Registro Mercantil
Proveedor nuevo con historial de pago corto Medio Doble aprobación y observación reforzada
Formato ligeramente distinto al habitual del banco Medio Análisis forense de imagen y tipométrico

La combinación de tres o más de estas señales en una misma solicitud debe bloquear automáticamente el pago hasta su verificación, con independencia de la urgencia alegada por el solicitante.

¿Listo para automatizar sus verificaciones?

Piloto gratuito con sus propios documentos. Resultados en 48h.

Solicitar un piloto gratuito

Lo que preguntan los equipos financieros en foros y comunidades especializadas

Las comunidades de administración y contabilidad comparten dudas recurrentes que rara vez aparecen en las guías oficiales: si la empresa debe pagar de nuevo cuando el primer pago se hizo de buena fe a una cuenta fraudulenta, qué plazo real existe para pedir la retención de una transferencia SEPA, si el banco asume responsabilidad cuando no detecta que el beneficiario declarado no coincide con el titular real, y cómo aplicar doble verificación sin ralentizar el ciclo de pagos con un equipo de administración reducido.

La respuesta a la primera pregunta rara vez es la esperada: el pago de buena fe a una cuenta fraudulenta generalmente no se considera liberatorio, porque el importe no ha llegado al acreedor real, lo que obliga a abonar de nuevo la factura y a reclamar por vía civil o penal la cantidad desviada (Mundo PC — fraude en facturas por cambio de IBAN). Este riesgo justifica invertir en verificación previa antes que en la recuperación posterior.

Protocolo de verificación antes de aceptar un cambio de datos bancarios

Un protocolo en cuatro pasos reduce la exposición a este fraude sin añadir fricción al ciclo de pagos. INCIBE gestionó 122.223 incidentes de ciberseguridad en España en 2025, un 26 % más que en 2024, con el fraude online entre las categorías de mayor crecimiento (INCIBE — balance de ciberseguridad 2025), lo que confirma que este protocolo ya no es opcional.

Paso 1 — Aislar la solicitud del flujo normal de aprobación. Ninguna modificación de IBAN debe procesarse en el circuito de facturas rutinarias; requiere un responsable distinto de quien la recibió.

Paso 2 — Verificar por un canal independiente ya conocido. Llamar al proveedor a un número guardado con anterioridad, nunca al del correo recibido. Esta comprobación por sí sola neutraliza la mayoría de los intentos, según las guías de INCIBE sobre fraude en cambio de cuenta bancaria.

Paso 3 — Someter el documento adjunto a análisis forense. Revisar metadatos, coherencia de formato con documentos previos del proveedor y validez de la firma digital. Una plataforma de verificación documental como CheckFile automatiza este cruce y señala discrepancias en segundos.

Paso 4 — Exigir doble aprobación y constancia auditable. El cambio validado debe registrarse con fecha, responsable, canal de verificación y resultado, conforme a la trazabilidad exigida en cumplimiento normativo del sector financiero.

Este protocolo también es aplicable a la verificación de facturas de proveedores frente a fraude y errores: ambos esquemas comparten el mismo punto ciego, la confianza no verificada en un dato bancario.

Marco regulatorio español aplicable

La Ley 10/2010, de prevención del blanqueo de capitales, obliga a las entidades financieras y otros sujetos obligados a verificar la titularidad real de las cuentas en operaciones de riesgo; las empresas no reguladas quedan protegidas principalmente por la vía civil y penal ordinaria. El Banco de España habilita un canal para comunicar fraudes en operaciones de pago, y el SEPBLAC exige valorar los cambios de coordenadas bancarias como factor de riesgo en la diligencia debida reforzada. La Directiva (UE) 2024/1640 (AMLD6), en vigor desde enero de 2025, es el primer texto europeo que cita expresamente los documentos generados por IA como vector de riesgo a documentar (EUR-Lex — texto oficial).

¿Es responsable la empresa si paga de buena fe a una cuenta fraudulenta?

La jurisprudencia civil española tiende a considerar que el pago a una cuenta distinta de la del acreedor real no extingue la deuda original, salvo que se demuestre negligencia del propio acreedor en la gestión de sus comunicaciones. Esto traslada el riesgo económico a la empresa pagadora en la mayoría de los casos, con independencia de su buena fe, lo que refuerza la necesidad de controles preventivos y no solo de recuperación posterior.

Automatización: cómo la verificación documental complementa el control humano

El control manual sigue siendo insustituible para el juicio contextual, pero su capacidad de detección es estructuralmente limitada frente al volumen actual de fraude. Según el ACFE 2024 Report to the Nations, el control manual detecta de media el 37 % de los fraudes, con un retraso medio de descubrimiento de 87 días (ACFE — Report to the Nations 2024), margen más que suficiente para que los fondos desviados salgan de la jurisdicción. La detección se apoya en un análisis multi-capa — estructural, de metadatos y de coherencia entre documentos del expediente de pago — en lugar de un único control visual, lo que reduce la ventana de exposición.

Las plataformas especializadas cruzan el IBAN recibido contra el histórico del proveedor, validan la coherencia del código BIC con la entidad declarada y aplican modelos forenses que identifican artefactos de generadores de imagen y editores de PDF. Una capa adicional de señales de generación por IA puede desplegarse según la configuración y el riesgo del cliente, sin sustituir la verificación telefónica independiente, que sigue siendo el control más eficaz frente a la ingeniería social. Consulte nuestra página de tarifas para dimensionar el coste frente al riesgo.

Para un marco de referencia más amplio sobre verificación documental por sector de actividad, consulte la guía de verificación sectorial.


CheckFile analiza sus expedientes de pago y señala indicios de generación por IA como complemento a sus controles existentes. Descubra nuestro análisis de documentos generados por IA y deepfakes, aplicado a certificados bancarios y solicitudes de cambio de IBAN.

Preguntas frecuentes

¿Qué debo hacer si ya he pagado a una cuenta fraudulenta tras un cambio de IBAN falso?

Contacte de inmediato a su banco para solicitar el recall de la transferencia SEPA, con posibilidades reales de éxito solo en las primeras horas. Presente denuncia ante la Policía Nacional o la Guardia Civil y conserve la correspondencia y el documento bancario como prueba. Notifique también al proveedor real: su cuenta de correo probablemente esté comprometida.

¿Un IBAN con dígitos de control válidos garantiza que la cuenta es legítima?

No. El algoritmo de control del IBAN solo verifica la coherencia matemática del número de cuenta, no la identidad del titular. Un IBAN perfectamente válido puede pertenecer a una cuenta controlada por un defraudador, como se detalla en nuestra guía de verificación de cuenta bancaria e IBAN.

¿Puede un empleado distinguir a simple vista un certificado bancario generado por IA?

Rara vez. Los modelos generativos actuales reproducen logotipos, tipografías y sellos con una fidelidad visual muy alta, por lo que el control visual humano detecta solo una minoría de estos documentos. La detección fiable requiere análisis de metadatos, verificación de la firma digital cuando existe y cotejo con el historial de documentos previos del proveedor.

¿Qué papel juega la videollamada deepfake en el fraude del CEO actual?

Los casos más sofisticados combinan el documento bancario falso con una videollamada donde voz e imagen del directivo son recreadas mediante IA para dar credibilidad a la instrucción de pago. Este refuerzo audiovisual no sustituye al documento fraudulento, solo reduce las dudas del empleado, por lo que la verificación telefónica independiente sigue siendo el control decisivo.

¿Deben las pymes con equipos pequeños aplicar el mismo protocolo que las grandes empresas?

Sí, con recursos proporcionales. El elemento crítico — verificar cualquier cambio de IBAN por un canal independiente antes de pagar — no requiere inversión y es aplicable con un procedimiento escrito simple. La automatización aporta valor a medida que crece el volumen de facturas gestionadas.

Manténgase informado

Reciba nuestros análisis de cumplimiento y guías prácticas en su correo.

¿Listo para automatizar sus verificaciones?

Piloto gratuito con sus propios documentos. Resultados en 48h.