Fraude en facturas de proveedores: señales para detectarlo antes de pagar

El fraude en cuentas a pagar entra por correo, con una factura que se parece tanto a una real que pasa el primer filtro humano y a veces también el segundo. La última línea de defensa no es el banco; es el control sobre cómo se valida la factura antes de que salga del ERP.

Este artículo recoge los cinco patrones de fraude que más aparecen en empresas españolas, las señales antes del pago y cómo un scoring automatizado cierra el hueco.

Cinco tipos de fraude AP que aparecen por correo

Cinco patrones cubren el grueso de lo que ven los equipos de control:

1. Proveedor fantasma. Proveedor que no existe, dado de alta con datos plausibles pero sin actividad real. Entra vía connivencia interna o por baja calidad del onboarding.
2. BEC (Business Email Compromise) sobre proveedor real. El atacante compromete o suplanta el correo de un proveedor legítimo y envía una factura auténtica con IBAN cambiado. El más costoso por ticket.
3. Factura duplicada deliberada. El proveedor reenvía una factura ya pagada con pequeñas variaciones. Ver detectar facturas duplicadas.
4. Sobrefactura coludida. Empleado y proveedor real acuerdan facturar a precio inflado y reparten el sobrecoste. La cabecera cuadra; las líneas no.
5. Factura inflada sin pedido. Servicios o consultoría facturados por encima de lo entregado, sin pedido formal contra el que cruzar.

Los cinco dejan huella antes del pago. La cuestión no es si las señales existen, es si tu proceso las ve a tiempo.

El tamaño del problema: 5% de la facturación anual

La ACFE publica el Report to the Nations bianual sobre fraude ocupacional. Estimación recurrente: las organizaciones pierden en promedio el 5% de su facturación anual por fraude interno, y el billing fraud es de las categorías más frecuentes y caras por caso.

En España, el INCIBE publica avisos periódicos sobre fraude del CEO y BEC. La AEAT, con SII y Verifactu, refuerza la trazabilidad documental, lo que también endurece la cadena AP.

Dos consecuencias prácticas: el ROI de la detección preventiva es alto (una sola factura BEC bloqueada paga muchos meses de control), y el compliance fiscal ES ya estructura el dato, así que aprovecharlo para anti-fraude es coste marginal.

Quince señales concretas antes del pago

Las señales que siguen son universales: no dependen de país, sector ni proveedor. Cualquier sistema serio las puede leer del documento, del correo y de los datos maestros sin OCR-magia.

1. Cuenta bancaria nueva respecto al histórico del proveedor.
2. IBAN de país distinto al de la sede fiscal del proveedor.
3. Cambio de cuenta comunicado solo por email, sin contacto telefónico verificado.
4. Dominio del remitente similar pero no idéntico al histórico (typosquatting).
5. Importe redondo justo bajo el umbral de aprobación (4.999€, 9.950€).
6. Ausencia de pedido en compras categorizadas que normalmente sí lo llevan.
7. Ausencia de albarán en compras físicas que requieren recepción.
8. Fecha de factura anterior a la fecha del pedido.
9. NIF / CIF que no resuelve en bases públicas o pertenece a otra razón social.
10. Número de factura no correlativo con el patrón del proveedor.
11. Total cuadra pero las líneas no: sobreprecio en una línea compensado con descuento en otra.
12. Concepto genérico ("servicios profesionales") sin desglose horario ni entregable.
13. Proveedor de alta hace <60 días con primer ticket de importe alto.
14. Urgencia inusual en el correo ("págalo hoy", "el banco cierra").
15. Factura recibida fuera del horario laboral del remitente real.

Una sola señal raramente justifica bloquear. Tres o más exigen revisión. Combinaciones específicas (cuenta nueva + dominio similar + urgencia) son bandera roja inmediata.

BEC (vendor email compromise): el patrón más caro

El BEC dirigido a AP funciona así: el atacante compromete el correo del proveedor (o suplanta su dominio con un typosquat) y envía una factura real, a veces copiada de una previa, con un único cambio: el IBAN.

Lo difícil: el PDF es a menudo auténtico, el importe encaja con el patrón real y llega cuando el proveedor de verdad iba a facturar. Lo que lo delata: el IBAN no aparecía antes, el dominio difiere en una letra o cambia el TLD, y el correo introduce urgencia o pide confidencialidad.

Control efectivo: comparar IBAN contra histórico del proveedor y exigir verificación out-of-band (llamada al teléfono ya conocido, no al del correo) ante cualquier cambio de cuenta. Las guías de INCIBE para empresas documentan el patrón.

Proveedor fantasma: detección al onboarding y al primer pago

El proveedor fantasma se cuela en los datos maestros. Las pistas son del proveedor más que de la factura: NIF / CIF que no resuelve, domicilio fiscal coincidente con el de un empleado o buzón virtual, teléfono y correo de uso personal, primera factura pocos días tras el alta, concepto fuera del catálogo habitual y pagos siempre justo bajo umbral de aprobación.

Control preventivo: validar NIF y domicilio en alta y revisar el primer pago con un segundo aprobador, independiente del importe.

Factura duplicada deliberada

No es un error de archivo: es el proveedor reenviando una factura ya pagada con pequeñas variaciones para que el sistema no la marque como duplicada exacta (mismo importe con número variado, escaneo con otra resolución, PDF y FacturaE el mismo mes, dos canales en paralelo).

La detección limpia cruza por fingerprint de contenido (proveedor + fecha + importe + líneas), no sólo por número. Más en detectar facturas duplicadas.

Sobrefactura coludida entre empleado y proveedor

Sutil. Un empleado con poder de aprobación acuerda con un proveedor real que las facturas vengan infladas, repartiendo el sobrecoste. La factura la firma el aprobador, el proveedor existe, el albarán se recibe.

Las señales son patrones, no eventos: precio unitario sistemáticamente por encima de mercado, concentración anómala de un proveedor sobre un único aprobador, tasa de aprobación del 100% sin excepciones nunca, y líneas con sobreprecio compensadas con líneas con descuento que dejan el total cuadrado.

Por eso el three-way matching honesto es línea a línea, pre-tax, sobre precio unitario, nunca sobre cabecera. El total nunca miente, pero las líneas sí.

Scoring de riesgo 0-100: la lógica que cierra el hueco

Nadie lee 300 facturas/mes con la atención suficiente para ver las señales en cada una. Un score automatizado sí. Cada factura entra con un score 0-100 que combina señales del documento, del correo y del histórico:

• 0-29: bajo riesgo. Si pasa three-way matching, va a touchless.
• 30-59: revisión recomendada en cola normal.
• 60-79: aprobador adicional obligatorio antes de pago.
• 80-100: bloqueo hasta verificación out-of-band.

Las señales que más pesan en producción: cambio de IBAN sobre proveedor existente, dominio similar al histórico, ausencia de pedido en categorías que siempre lo llevan, NIF que no resuelve, primera factura de proveedor recién dado de alta. El scoring no es la última palabra: es el filtro que prioriza qué mira el humano. La capa touchless AP resuelve el resto sin tocar las facturas limpias.

Plan de prevención: cinco capas que se refuerzan

Ninguna capa única detiene el fraude AP. Cinco en serie sí:

1. Onboarding con NIF validado contra registros públicos y verificación bancaria por canal independiente.
2. Three-way matching línea a línea con tolerancia 2% / 1,50€ OR-mode (ver three-way matching).
3. Detección de duplicados por fingerprint, no sólo por número.
4. Scoring 0-100 con bloqueo automático por encima de 80.
5. Segregación de funciones: aprobador ≠ pagador, y dos aprobadores en primer pago a proveedor nuevo.

Checklist para auditor interno

Antes de aprobar el ciclo AP del trimestre:

• Proveedores nuevos con NIF validado y primer pago revisado por dos aprobadores.
• Facturas con score > 60: justificación documentada del aprobador.
• Cambios de IBAN con verificación out-of-band registrada.
• Facturas sin pedido en categorías que normalmente sí lo llevan: revisión nominal.
• Concentración proveedor-aprobador >30% del volumen sin justificación.
• Cero excepciones de un aprobador durante >6 meses: señal, no virtud.

Preguntas frecuentes

¿Cuál es el tipo de fraude AP más caro por caso?

BEC (vendor email compromise). El atacante mueve facturas reales con cuenta cambiada y los tickets van de miles a cientos de miles de euros. INCIBE publica avisos periódicos.

¿Sirve el doble check humano para detectar BEC?

Ayuda, pero no basta. Si los dos aprobadores miran el PDF y el PDF está bien, pasan. Lo que falla es no comparar el IBAN contra el histórico. Eso es trabajo de sistema.

¿Qué obliga la AEAT en prevención de fraude AP?

La AEAT impulsa SII y Verifactu para trazabilidad fiscal. No es anti-fraude AP per se, pero estructura el dato y dificulta facturas inventadas que no aparecen en SII del emisor.

¿Es realista el 5% de facturación perdida por fraude?

Es el promedio agregado que reporta la ACFE en su Report to the Nations. La distribución es asimétrica: muchas empresas tienen pérdidas pequeñas o nulas y unas pocas tienen pérdidas grandes.

¿Un score de riesgo es suficiente?

No. Es la capa que prioriza qué mirar. Sin three-way matching, segregación de funciones y validación de proveedor en alta, el score detecta menos.

¿Funciona esto si todavía recibo facturas en papel?

Funciona peor. Señales como dominio del remitente o hora de envío solo existen en correo. Migrar la entrada de facturas a un buzón único de AP es paso cero.

Tres cosas para recordar

1. El fraude AP deja huella antes del pago. La cuestión es si tu proceso ve las señales a tiempo, no si existen.
2. Las señales son universales: cuenta nueva, dominio similar, ausencia de pedido, NIF que no resuelve, total cuadra pero líneas no.
3. Un scoring 0-100 con three-way matching línea a línea y segregación de funciones cierra el hueco que ni el dos-pares-de-ojos ve.

Para verlo sobre tus facturas, prueba ininvoice. Precio y funcionalidades.

Contenido relacionado

• Touchless accounts payable
• Cómo detectar facturas duplicadas
• Three-way matching línea a línea
• Varianza de precio factura vs pedido
• Errores frecuentes en facturas de proveedores