Una estafa informática en Alicante ha dejado pérdidas económicas reales y ha expuesto vulnerabilidades críticas en los procesos de pago digital. La Guardia Civil imputó a dos personas en Barcelona por alterar pagarés electrónicos, redirigir transferencias y suplantar identidades comerciales. El caso revela riesgos sistémicos en la gestión financiera remota y la necesidad urgente de controles técnicos y legales robustos.
¿Cómo funcionó la estafa con pagarés manipulados?
Los imputados accedieron ilegalmente al intercambio de correos electrónicos entre una empresa alicantina y sus proveedores. Una vez dentro, identificaron los pagarés digitales emitidos y modificaron los datos de los beneficiarios y las cuentas bancarias de destino.
Esta manipulación no fue aleatoria. Los estafadores emplearon técnicas de suplantación de identidad para simular comunicación legítima. Así, los pagos se ejecutaron sin alertas ni rechazos por parte de los sistemas contables.
El rol del Equipo @ de la CiberComandancia
La investigación fue liderada por el Equipo @, unidad especializada en ciberdelincuencia de la Guardia Civil. Su enfoque se centró en el rastreo del dinero y el análisis forense de las cuentas receptoras. El cruce con bases de datos policiales fue clave para identificar a los presuntos autores.
¿Qué daños reales causó esta estafa?
El perjuicio no fue único ni puntual. La empresa afectada sufrió un doble perjuicio económico: perdió los fondos transferidos fraudulentamente y, al mismo tiempo, mantuvo la obligación legal de pagar la factura al proveedor legítimo.
Esto genera un impacto contable inmediato: duplicación de gastos, deterioro de la liquidez y posibles sanciones por impago a terceros.
Impacto en la cadena de suministro
Cuando un proveedor no recibe el pago, puede interrumpir entregas, aplicar intereses de demora o incluso iniciar acciones legales. Esto afecta la operatividad de la empresa víctima y su reputación comercial.
¿Qué marco legal regula este tipo de delitos?
Este caso se enmarca en el artículo 248 del Código Penal, que tipifica el fraude como delito contra el patrimonio. Además, la manipulación de correos y documentos digitales incurre en los delitos de intrusión informática (art. 197.3) y falsedad documental (art. 390).
La competencia judicial recae en los juzgados de instrucción especializados en delitos telemáticos. En este caso, la causa fue remitida a la autoridad judicial de Esplugues de Llobregat, conforme a la distribución territorial de competencias.
Obligaciones derivadas del Reglamento General de Protección de Datos (RGPD)
La empresa víctima podría enfrentar responsabilidades adicionales si no demostró haber implementado medidas de seguridad proporcionales al riesgo, como exigía el artículo 32 del RGPD. La falta de cifrado en correos con documentos financieros o la ausencia de autenticación en dos pasos son factores de vulnerabilidad objetivos.
¿Qué medidas preventivas son efectivas hoy?
La prevención ya no es opcional. Requiere una combinación de tecnología, formación y protocolos verificables.
Datos Clave
- La estafa se ejecutó mediante manipulación de pagarés electrónicos, no mediante malware o phishing masivo.
- El acceso inicial se logró por intercepción de correos, no por brechas en servidores corporativos.
- El Equipo @ de la CiberComandancia lideró la investigación técnica y financiera.
- El doble perjuicio implica pérdida directa + obligación de pago duplicado.
- La fase operativa concluyó con imputaciones en Gavá (Barcelona) y remisión judicial a Esplugues de Llobregat.
La ciberseguridad financiera exige más que antivirus. Requiere validación humana en cada pago, verificación independiente de cuentas bancarias y auditorías periódicas de flujos de comunicación con proveedores. Las empresas que adoptan firmas digitales cualificadas y canales de confirmación alternativos (SMS o llamada verificada) reducen drásticamente el riesgo de este tipo de fraude. La vigilancia continua y la capacitación del personal contable son tan críticas como la infraestructura tecnológica.
