RML
El departamento de Recursos Humanos de una empresa de consultoría realizó una transferencia bancaria correspondiente a una nómina mensual en una cuenta errónea tras recibir una solicitud de cambio de domiciliación bancaria. El mensaje, recibido por correo electrónico, utilizaba un lenguaje convincente y simulaba la identidad de un empleado de la plantilla. La petición fue tramitada sin sospechas iniciales al considerarse un procedimiento administrativo rutinario dentro de la operativa habitual de la compañía.
La detección del fraude se produjo cuando el trabajador afectado notificó la ausencia del ingreso en los plazos previstos. Tras una comprobación interna, la empresa constató que el empleado no había solicitado ninguna modificación en sus datos de pago y que la cuenta de destino facilitada en el correo electrónico no pertenecía al titular legítimo. El método empleado se basa en la ingeniería social para engañar al personal administrativo y lograr que se desvíen fondos hacia cuentas controladas por ciberdelincuentes.
La respuesta ante este tipo de incidentes requiere la recopilación inmediata de todas las evidencias digitales y comunicaciones recibidas. Es necesario interponer denuncias formales ante las Fuerzas y Cuerpos de Seguridad del Estado, diferenciando entre el fraude financiero sufrido por la entidad y la suplantación de identidad que afecta al trabajador. Este trámite administrativo puede realizarse de forma telemática a través de la sede electrónica de la Guardia Civil y es un requisito indispensable para iniciar cualquier proceso de recuperación de activos.
Una vez obtenida la copia de la denuncia, la empresa debe presentar una reclamación ante la entidad bancaria involucrada para intentar revertir la operación o recuperar el capital sustraído. En los casos donde la respuesta de la entidad financiera no sea satisfactoria, el protocolo establece la posibilidad de elevar la queja ante el Banco de España.
Para mitigar riesgos futuros, la implementación de medidas preventivas resulta crítica en el entorno corporativo. Se recomienda establecer sistemas de doble verificación para cualquier cambio en datos sensibles o solicitudes de transferencias económicas. Esto implica confirmar la veracidad de la petición a través de un segundo canal de comunicación, como una llamada telefónica o una reunión presencial con el solicitante. Asimismo, resulta fundamental la revisión técnica de los encabezados y remitentes de los correos electrónicos para detectar posibles irregularidades en los dominios de envío.
