El peligro del Man in the Middle y la estafa del CEO: dos caras del fraude digital más lucrativo

En un mundo empresarial cada vez más digitalizado, los ciberdelincuentes han encontrado en las comunicaciones electrónicas una mina de oro. Dos de las amenazas más frecuentes y dañinas son el ataque Man in the Middle (MITM) y la llamada estafa del CEO o Business Email Compromise (BEC). Ambos delitos se basan en la manipulación de la confianza, la suplantación de identidades y la interceptación de comunicaciones, lo que los convierte en un riesgo crítico para empresas de todos los tamaños.

¿Qué es un ataque Man in the Middle?

El Man in the Middle se produce cuando un atacante logra situarse en medio de una comunicación entre dos partes —por ejemplo, entre una empresa y su proveedor—. De este modo, intercepta mensajes, modifica facturas o cambia números de cuenta sin que las víctimas sospechen. El objetivo: desviar dinero hacia cuentas controladas por la red criminal.

Este método suele ser la antesala o complemento de la estafa del CEO, en la que el ciberdelincuente suplanta la identidad de un alto directivo o de un proveedor habitual para convencer a un empleado de que realice un pago urgente y aparentemente legítimo.

Casos recientes en España

Los tribunales españoles y las fuerzas de seguridad llevan años lidiando con esta amenaza. Algunos ejemplos:

• Operación Osgiliath (Guardia Civil): 30 detenidos por estafar más de un millón de euros interceptando comunicaciones entre empresas y modificando datos bancarios en las facturas.
• Navarra, operación “Cabezos”: una pyme transfirió 90.000 euros a una cuenta fraudulenta tras recibir un correo manipulado que parecía auténtico.
• Operación Lucus (Sevilla): siete personas arrestadas tras estafar cerca de dos millones de euros a empresas mediante MITM.
• Ibiza (2025): denunciada una estafa de 200.000 euros en la que los criminales se hicieron pasar por contables de una empresa asociada. La rapidez en la denuncia permitió recuperar el dinero.

Estos episodios confirman que no se trata de ataques aislados, sino de un modus operandi extendido que afecta tanto a grandes corporaciones como a pymes y autónomos.

Por qué funcionan estas estafas

Los expertos señalan varios factores que explican el éxito de estas modalidades delictivas:

1. Urgencia y presión psicológica: mensajes que solicitan pagos inmediatos, creando un clima de estrés para evitar comprobaciones.
2. Suplantaciones convincentes: correos electrónicos con dominios casi idénticos a los reales, y a veces acceso directo a buzones comprometidos.
3. Ausencia de controles internos: transferencias aprobadas solo mediante correo electrónico, sin doble verificación.
4. Criminalidad internacional: redes organizadas con mulas bancarias en distintos países, lo que dificulta la recuperación del dinero.

Consecuencias económicas y reputacionales

El impacto va mucho más allá de las pérdidas económicas. Las empresas víctimas suelen enfrentarse a:

• Quebranto financiero inmediato, con transferencias difíciles de rastrear.
• Daños reputacionales frente a clientes y proveedores.
• Posibles responsabilidades legales por no haber aplicado protocolos de verificación adecuados.
• Costes de recuperación y auditoría que se suman a las pérdidas iniciales.

Cómo protegerse

La prevención es clave para frenar esta amenaza. Los especialistas recomiendan:

• Confirmar por doble canal (llamada telefónica o videollamada) cualquier instrucción de cambio de cuenta bancaria.
• Implantar políticas internas que obliguen a doble firma o verificación en transferencias de cierta cuantía.
• Formar al personal en detección de correos sospechosos y en protocolos de seguridad.
• Revisar los dominios de correo electrónico y configurar autenticación reforzada en los sistemas corporativos.
• Denunciar de inmediato cualquier intento de fraude para maximizar las posibilidades de recuperar fondos.

Conclusión

El Man in the Middle y la estafa del CEO son hoy dos de los fraudes más rentables para el crimen organizado. A diferencia de otros ataques más técnicos, estos delitos se aprovechan de la ingeniería social y la falta de controles internos, lo que los hace especialmente peligrosos.

La mejor defensa no es solo la tecnología, sino la combinación de protocolos claros, formación del personal y cultura preventiva. En un contexto donde cada correo o transferencia puede ser manipulado, la verificación es la diferencia entre la seguridad y una pérdida millonaria.