Anti-fraude proveedores en PYME: señales que tu AP debe detectar antes del pago

Las PYMEs españolas son los objetivos más atacados en fraude de facturas. No porque sus controles sean peores que los de las grandes empresas, sino porque la relación personal con el proveedor genera una confianza que los atacantes explotan. El jefe de administración que lleva tres años pagando a la misma constructora es más susceptible a un correo que parece del responsable de la constructora pidiendo un cambio de cuenta.

El ACFE estima que la pérdida mediana por fraude en organizaciones pequeñas es de 150.000 USD. El 20% de los casos supera el millón. Y la detección tarda de media 12 meses, según el mismo informe.

Este artículo describe las señales concretas que un proceso AP debe detectar, cómo un score de riesgo las formaliza y qué controles organizativos reducen la exposición.

Las señales de fraude que más fallos generan

1. Cambio de cuenta bancaria comunicado por correo electrónico.

El fraude de cambio de cuenta (Business Email Compromise, BEC) es el más frecuente y el más costoso. El atacante suplanta al proveedor —o compromete su cuenta de correo— y envía un correo solicitando que el próximo pago vaya a una cuenta nueva. El correo parece legítimo porque viene del mismo dominio o de uno similar (empresa-s.com en lugar de empresa.com).

La regla anti-fraude: ningún cambio de cuenta bancaria de proveedor se procesa por correo. Siempre verificación telefónica al número habitual del proveedor, no al que aparece en el correo. El cambio queda documentado con la verificación antes de actualizarse en el maestro de proveedores.

2. Factura sin pedido previo, especialmente de proveedor nuevo.

Una factura que llega sin pedido de compra asociado puede ser legítima (compra urgente, servicio recurrente sin contrato formal). Pero también es el patrón básico del fraude de factura ficticia: alguien emite una factura de servicios genéricos (consultora, asesoría, servicios de marketing) por importe moderado y espera que pase inadvertida.

Las facturas sin pedido de un proveedor conocido tienen menos riesgo. Las facturas sin pedido de un proveedor nuevo o con poca historia tienen riesgo alto.

3. Importes justo por debajo de umbrales de aprobación.

Si el umbral de aprobación del director financiero es 5.000€, las facturas de 4.800 o 4.950€ recurrentes del mismo proveedor son una señal. La técnica se llama "smurfing" en el contexto AP: dividir un importe mayor en varios más pequeños para evitar controles. También aparece como facturas ligeramente por debajo del importe que requiere segundo firmante.

4. Proveedor con datos inusuales o inconsistentes.

• NIF que no coincide con el nombre del proveedor en el maestro.
• IBAN de país diferente al país del proveedor sin justificación.
• Dirección de correo del dominio diferente al habitual del proveedor.
• Teléfono de contacto nuevo que no estaba en el maestro de proveedores.

5. Duplicado de factura con variación mínima.

Una factura duplicada con el mismo NIF, importe y periodo pero con número ligeramente diferente. El proceso manual puede aprobar ambas si el operador no las compara explícitamente. El doble pago se detecta solo cuando el proveedor comunica el error o cuando el banco concilia.

El score de riesgo: cómo formalizar las señales

Un score de riesgo convierte las señales anteriores en una puntuación 0-100 por factura. No bloquea automáticamente; leído correctamente, es un sistema de priorización de revisión humana.

Señal	Peso en score	Acción sugerida
Proveedor nuevo (sin historial en el sistema)	Alto	Verificación manual antes de aprobar
Factura sin pedido de compra asociado	Alto	Solicitar justificación al solicitante
IBAN diferente al registrado en maestro	Muy alto	Bloqueo + verificación telefónica obligatoria
Importe redondo (1.000, 5.000, 10.000€) sin líneas detalladas	Medio	Solicitar detalle de conceptos
Duplicado potencial (mismo NIF + importe + periodo)	Muy alto	Bloqueo automático hasta resolución
Varianza de precio >5% respecto al histórico del proveedor	Medio	Comparar con últimas facturas del mismo proveedor
Importe justo por debajo del umbral de aprobación	Alto	Escalada automática al nivel superior de aprobación

La calibración del score depende del volumen y de los umbrales de aprobación de cada empresa. Lo que funciona para una empresa con 50 facturas al mes puede generar demasiadas excepciones en una con 500. El objetivo es que el 70-80% de facturas pase con score bajo (verde), y el 20-30% restante reciba revisión proporcional a su nivel de señal.

Controles organizativos: lo que el software no puede hacer solo

El score de riesgo es una capa técnica. Hay controles organizativos que deben existir en paralelo:

Segregación de funciones. Quien aprueba una factura no debe ser quien autoriza el pago. Quien crea un proveedor nuevo en el maestro no debe ser quien aprueba su primera factura. En PYMEs pequeñas esto es difícil de implementar al 100%, pero como mínimo debe haber un segundo firmante para importes elevados.

Protocolo de cambio de cuenta bancaria. Escrito, conocido por todo el equipo: ningún cambio de IBAN sin verificación telefónica al contacto habitual del proveedor. El correo que solicita el cambio no es suficiente, aunque parezca legítimo. Documentar la verificación (fecha, hora, nombre de la persona contactada, número llamado).

Maestro de proveedores controlado. Solo personas autorizadas pueden crear o modificar proveedores. Cualquier modificación de cuenta bancaria queda registrada con quién la hizo y cuándo.

Formación del equipo. El vector más efectivo para el fraude BEC es el e-mail. El equipo AP debe saber qué hacer cuando recibe un correo sospechoso: no hacer clic en links, no procesar cambios de cuenta sin verificar, escalar al responsable si hay duda.

Caso: empresa de servicios profesionales con 120 facturas al mes

Una empresa de ingeniería con sede en Barcelona gestionó una situación de fraude BEC en 2025. Un proveedor habitual de materiales de obra recibió un ataque a su cuenta de correo. Los atacantes, usando la cuenta comprometida del proveedor, enviaron un correo al equipo AP de la empresa indicando que habían cambiado de banco y solicitando actualizar el IBAN para el pago de las próximas facturas.

El equipo AP recibió el correo, verificó que venía del dominio correcto del proveedor y actualizó el IBAN en el sistema. Las próximas dos facturas del proveedor, por un total de 34.800€, se pagaron a la cuenta fraudulenta.

La detección tardó tres semanas, cuando el proveedor llamó para preguntar por qué no había recibido los pagos. La recuperación de los fondos fue parcial.

Con un proceso que requiere verificación telefónica para cualquier cambio de IBAN, el fraude se habría detectado en el momento de la verificación: el número de teléfono habitual del proveedor no corresponde a los atacantes.

Fraude externo vs fraude interno: dos perfiles distintos

El fraude en AP tiene dos orígenes:

Fraude externo: atacantes que suplantan a proveedores, crean facturas ficticias o explotan errores de proceso para cobrar pagos no debidos. El BEC y las facturas sin pedido son los patrones más comunes.

Fraude interno: empleados que crean proveedores ficticios, aprueban sus propias facturas o modifican datos bancarios de proveedores reales. El ACFE Report 2024 indica que el 40% del fraude en organizaciones pequeñas involucra a personal de contabilidad o finanzas. La segregación de funciones y los controles de acceso al maestro de proveedores son la primera línea de defensa.

Un score de riesgo basado solo en señales de la factura detecta mejor el fraude externo. El fraude interno requiere controles de acceso, logs de modificaciones y auditoría periódica del maestro de proveedores.

Preguntas frecuentes

¿El fraude de factura ficticia es frecuente en PYMEs españolas?

Sí. El ACFE Report 2024 indica que el 22% de las organizaciones con menos de 100 empleados sufre algún tipo de fraude en AP. El importe mediano de pérdida es 150.000 USD por caso.

¿Cómo verifico que un proveedor nuevo es legítimo antes de aprobar su primera factura?

Verificación básica: consulta el NIF en el censo de la AEAT para confirmar que existe. Consulta el IBAN y el país del banco. Llama al número de teléfono encontrado públicamente (no el que aparece en la factura) para confirmar la relación comercial.

¿Qué hago si sospecho que una factura es fraudulenta?

No la apruebes. Escala al responsable financiero. Contacta al proveedor por un canal alternativo al correo o teléfono indicado en la factura. Si confirmas fraude, comunica a tu entidad bancaria si hay pagos pendientes y valora denuncia a las autoridades.

¿El three-way matching previene el fraude?

Parcialmente. El three-way matching detecta facturas sin pedido o albarán asociado, lo que reduce el ámbito del fraude por factura ficticia. No detecta el fraude de cambio de cuenta bancaria, que requiere controles organizativos específicos.

¿Cómo afecta el fraude en AP al seguro de la empresa?

Depende de la póliza. Algunos seguros de responsabilidad civil o pólizas de crimen empresarial cubren pérdidas por fraude externo si se demuestra que había controles razonables en vigor. Consulta con tu correduría.

Cinco controles que reducen el riesgo ahora

1. Ningún cambio de cuenta bancaria de proveedor sin verificación telefónica al contacto habitual. Documentada.
2. Toda factura de proveedor nuevo requiere aprobación de un nivel superior al que la aprueba habitualmente.
3. Las facturas sin pedido de compra van automáticamente a revisión manual. No pasan automáticamente.
4. El maestro de proveedores tiene registro de quién modifica qué. Solo personas autorizadas pueden crear o editar.
5. El equipo AP conoce el protocolo BEC: no procesar cambios de cuenta por correo, siempre verificar por teléfono.

Contenido relacionado

• Three-way matching: cómo cruzar factura, pedido y albarán línea a línea
• Touchless accounts payable: qué significa y cómo medirlo
• Factura sin pedido: cómo gestionar el routing en AP