La Policía Nacional de Palma recupera cerca de 360.000 euros de estafas a ciudadanos

Agentes de la Policía Nacional en Palma han conseguido recuperar cerca de 360.000 euros que habían sido estafados a diferentes perjudicados que habían interpuesto denuncia en las comisarías de la Policía Nacional en Palma.

En lo que va de año 2025 han entrado en el Grupo de Delincuencia Económica y Delitos Tecnológicos de la Policía Nacional en Palma multitud de denuncias relacionadas con toda la tipología delictiva en cuanto a estafas. Siendo la estafa “Timo del CEO” una de ellas y de las que tiene una mayor importancia en cuanto a perjuicio económico, a las empresas y Administraciones Públicas en el pago a proveedores, pues suelen ser cantidades elevadas las defraudadas.

Gracias a la pronta actuación y celeridad del Grupo de Delincuencia Económica y Delitos Tecnológicos se ha podido bloquear y retroceder a su origen el dinero defraudado (357.895 euros) en lo que va de año 2025, que si bien no ha sido la totalidad de las interpuestas en las diferentes Oficinas de Denuncias, si es un dato a tener muy en cuenta en cuanto a eficacia y eficiencia un vez producido el ilícito por parte de los autores del mismo.

El “modus operandi” de la estafa en la modalidad delictiva conocida como “TIMO DEL CEO” en su variedad de “Man in the Middle / BEC” que, a groso modo, combina técnicas tecnológicas, ingeniería social para provocar el engaño y aprovechamiento de debilidades bancarias para desviar transferencias legítimas a cuentas controladas por delincuentes.

1ª Fase. Componente tecnológico:

El atacante accede mediante phishing, dominios falsos o malware al sistema informático de empresas para interceptar las comunicaciones de correo electrónico. Desde ahí observa los contactos, hábitos financieros y facturas, incluso crea reglas de reenvío o direcciones casi idénticas a las reales para suplantar al proveedor o directivo.

Medida clave: inversión en ciberseguridad evitando el espionaje de las comunicaciones por email.

2ª Fase. Componente de ingeniería social:

Usando esa información, el estafador cuando observa el momento de pago de una factura, envía un correo engañoso, aparentemente legítimo, solicitando el cambio de cuenta bancaria donde ingresar el dinero. El mensaje suele incluir logotipos, lenguaje corporativo y un tono de urgencia (“nuevo número de cuenta por motivos administrativos”).

La víctima, confiando en la apariencia del correo, actualiza el IBAN y realiza el pago sin verificar por un canal independiente.

Medida clave: ningún cambio de cuenta debe aceptarse sin confirmación telefónica con el contacto habitual o sistema férreo de verificación.

3ª Fase. Componente bancario:

Hasta ahora, los bancos no estaban obligados a comprobar que el nombre del beneficiario coincidiera con el titular real del IBAN, lo que permitía que el dinero llegara a cuentas de “mulas” o terceros sin relación.

A partir de ahora, el Reglamento (UE) 2024/886, aplicable desde octubre de 2025, impone la obligación a las entidades financieras de verificar la correspondencia nombre-IBAN en transferencias inmediatas en euros. Si no lo hacen y se produce un fraude, el cliente podrá exigir reembolso.

Conclusión: eliminando una de las fases la estafa, ésta no se ejecuta, y la aparición de este Reglamento que obliga a los bancos receptores a la comprobación de la coincidencia del beneficiario con el titular de la cuenta, que nunca coincide y que hará que el banco detecte el fraude y no ejecute la transferencia.