How do scammers get so much detail about my company's vendors and invoicing?

Scammers obtain this information through multiple sources: data breaches of vendor databases that include customer lists and transaction details, compromised employee emails shared on dark web marketplaces, LinkedIn research on your finance staff and company structure, publicly available information from regulatory filings or company websites, and social engineering calls to vendors posing as your employees. Many successful scammers conduct 2-4 weeks of reconnaissance before launching the attack.

What should I do if I've already paid a vendor impersonation invoice?

Contact your bank or wire transfer service immediately and report the fraud—many banks can halt outgoing transfers if reported within 24 hours. Simultaneously notify your actual vendor, your IT security team, law enforcement (FBI at ic3.gov), and your cybersecurity insurance provider if you have a policy. Preserve all email evidence, including headers and metadata, to support recovery efforts and help law enforcement investigations. Recovery is difficult after funds clear, but reporting within hours significantly improves the chance of intercepting the transfer.

How can I verify a vendor's payment information without offending them?

Use a standardized verification process that applies to all vendors equally, so no single vendor feels targeted. Call vendors using the phone number from your previous invoices or their official website, never numbers provided in the suspicious email. You can simply say: 'We received an invoice requesting a payment method change. Before processing, I'm verifying this through our standard security procedure. Can you confirm your current banking information matches [the details from the email]?' Legitimate vendors expect and respect this verification.

What's the difference between vendor impersonation and business email compromise (BEC)?

Vendor impersonation is a specific type of BEC scam where the fraudster impersonates an external vendor rather than pretending to be an executive within your own company. BEC encompasses a broader category of business email fraud, including CEO fraud (impersonating executives), lawyer scams (impersonating legal counsel), and government impersonation. However, the protection strategies are similar: verify through independent channels, require multi-approval for payment changes, and implement email authentication.

If my company falls victim to a vendor impersonation scam, what are my legal obligations?

You should report the fraud to the FBI's Internet Crime Complaint Center (ic3.gov) and potentially local law enforcement, as this supports broader fraud investigations. You may be required to notify customers if the fraud involves their data (depending on state breach notification laws). Inform your bank, cybersecurity insurance carrier, and auditors immediately. While the company that fell victim typically bears the loss unless the bank was negligent in processing a clearly fraudulent transfer, early reporting and documentation improve the chance of recovery and may support insurance claims. Consult with your legal counsel regarding notification obligations specific to your state and industry.

High Risk Average Loss: $20,000 Typical Duration: 1-14 days

Estafas de Suplantación de Proveedores: Proteja su Empresa

Las estafas de suplantación de proveedores ocurren cuando los defraudadores investigan los proveedores legítimos de una empresa y luego crean facturas fraudulentas, correos electrónicos o comunicaciones que parecen provenir de esos vendedores. El estafador típicamente se dirige a departamentos de cuentas por pagar o equipos de finanzas, aprovechando la naturaleza rutinaria de los pagos a proveedores y la urgencia de las operaciones comerciales. Según el informe del Centro de Denuncias de Delitos por Internet (IC3) del FBI de 2023, las estafas de Compromiso de Correo Electrónico Empresarial (BEC)—que a menudo incluyen suplantación de proveedores—resultaron en pérdidas superiores a $2.7 mil millones ese año, con incidentes individuales promediando entre $20,000 y $150,000 para empresas más grandes. Las pequeñas y medianas empresas son particularmente vulnerables porque pueden carecer de sistemas sofisticados de autenticación de correo electrónico y protocolos de verificación de pagos que implementan las corporaciones más grandes. Estas estafas han evolucionado significativamente desde que surgieron a mediados de la década de 2010. Las primeras versiones se basaban en la suplantación de correo electrónico tosca, pero los ataques modernos de suplantación de proveedores ahora incorporan conocimiento detallado de las operaciones de la empresa, nombres de proveedores legítimos, términos de pago precisos e incluso membretados de empresa y logotipos replicados. Los estafadores a menudo realizan semanas de investigación, monitoreando las comunicaciones por correo electrónico y relaciones con proveedores de una empresa a través de brechas de datos, ingeniería social o investigación en LinkedIn. El tiempo promedio desde el contacto inicial hasta el pago fraudulento es de solo 1 a 14 días, lo que crea una ventana estrecha para la detección antes de que los fondos se transfieran a cuentas en el extranjero que se vuelven prácticamente imposibles de rastrear. El peligro se extiende más allá de la pérdida financiera inmediata. Las estafas de suplantación de proveedores pueden dañar las relaciones comerciales con proveedores legítimos, crear discrepancias contables que desencadenen auditorías, exponer a las empresas a responsabilidad legal si no detectan el fraude, y socavar la confianza dentro de los departamentos de finanzas. El reorientación repetida es común—los estafadores a menudo regresan a empresas comprometidas exitosamente con nuevos esquemas, y las empresas que caen víctimas una vez enfrentan un riesgo 20-30% mayor de ataques repetidos en los siguientes 12 meses.

Common Tactics How to Identify How to Protect Yourself Real-World Examples Frequently Asked Questions

Common Tactics

• Envío de facturas con direcciones de correo electrónico ligeramente alteradas (p. ej., [email protected] en lugar del dominio corporativo legítimo) o uso de nombres de dominio que imitan estrechamente la URL del proveedor real, como cambiar 'supplier.com' por 'suppIier.com' o 'supplier-inc.com'.
• Solicitud de redirección urgente de pagos debido a 'cambios de cuenta bancaria', 'actualizaciones de sistemas', 'problemas de cumplimiento fiscal' o 'actividades de fusión/adquisición' que crean presión de tiempo e ignoran procedimientos normales de verificación.
• Replicación de comunicaciones legítimas de proveedores copiando formatos de facturas reales, términos de pago, números de órdenes de compra y precios de transacciones anteriores descubiertos a través de brechas de correo electrónico o ingeniería social.
• Orientación a empleados específicos a través de correos electrónicos de phishing dirigido que hacen referencia a proyectos reales, plazos o ejecutivos por nombre, haciendo que la comunicación parezca auténtica y sensible al tiempo.
• Uso de métodos de pago legítimos como transferencias ACH o transferencias bancarias a cuentas a nombre del proveedor pero ubicadas en países diferentes, haciendo que la recuperación sea extremadamente difícil una vez que los fondos se acreditan.
• Seguimiento con múltiples correos electrónicos de recordatorio o llamadas de líneas de soporte falsas del proveedor, escalando la presión y urgencia mientras responden preguntas sobre la factura falsa con detalles sorprendentemente precisos sobre las operaciones de la empresa.

How to Identify

Solicitudes de factura por montos significativamente mayores que los pagos típicos a proveedores, o solicitudes de pago de múltiples facturas a la vez que difieren de los patrones o frecuencia normales de facturación del proveedor.
Direcciones de correo electrónico o nombres de dominio que son casi idénticos a proveedores legítimos pero contienen errores ortográficos sutiles, extensiones diferentes (.net en lugar de .com), o usan servicios de correo electrónico gratuitos en lugar de dominios corporativos.
Solicitudes repentinas de cambiar métodos de pago, agregar nuevos beneficiarios a su lista de proveedores aprobados, o redirigir pagos a nuevas cuentas bancarias sin acompañamiento de membrete oficial, órdenes de compra o aprobación multiparte del proveedor.
Comunicaciones que crean urgencia artificial citando plazos ajustados, ventanas de mantenimiento del sistema u oportunidades de pago único, especialmente cuando ignoran sus flujos de trabajo de adquisición establecidos.
Montos de facturas que no coinciden con montos de transacciones históricas con ese proveedor, incluyen elementos de línea inusuales, o carecen de descripciones detalladas e itemización normalmente encontradas en las facturas legítimas de ese proveedor.
Encabezados de correo electrónico, metadatos o firmas digitales que parecen inválidos cuando los reenvía a su equipo de seguridad informática, o solicitudes enviadas a direcciones de correo electrónico genéricas de la empresa en lugar de la persona de contacto específica de cuentas por pagar que normalmente recibe comunicaciones de proveedores.

How to Protect Yourself

Implementar protocolos de autenticación de correo electrónico incluyendo SPF (Marco de Política de Remitente), DKIM (Correo Identificado por Claves de Dominio) y DMARC (Autenticación, Informes y Conformidad Basados en Dominio) para detectar y marcar correos electrónicos suplantados de proveedores o direcciones internas.
Establecer un protocolo de verificación obligatorio que requiera que el personal de finanzas contacte directamente a los proveedores usando números de teléfono de sitios web oficiales de empresas o facturas anteriores antes de procesar cualquier solicitud de cambio de pago, incorporación de nuevo proveedor o redirección de cuenta.
Usar software de gestión de proveedores que centralice listas de proveedores aprobados, cuentas de pago e información de contacto en un sistema seguro que requiera autorización multinivel antes de que se registren cambios.
Capacitar trimestralmente al personal de cuentas por pagar y finanzas sobre tácticas de suplantación de proveedores, incluyendo reconocimiento de phishing, técnicas de verificación de correo electrónico y procedimientos para marcar comunicaciones sospechosas sin procesar pagos primero.
Implementar requisitos de aprobación dual para cualquier nuevo proveedor, transferencias bancarias que excedan montos de umbral (típicamente $5,000-$50,000 dependiendo del tamaño de la empresa), o cambios de método de pago, con aprobación secundaria de un departamento o gerente diferente.
Monitorear cuentas bancarias y software de contabilidad para actividad inusual incluyendo pagos a nuevas cuentas, transferencias a bancos internacionales, o montos de facturas significativamente fuera de rangos normales, revisando transacciones marcadas dentro de 24 horas de procesamiento.

Real-World Examples

Una empresa manufacturera recibió un correo electrónico que parecía provenir de su proveedor principal de electrónica (un proveedor manejando aproximadamente $300,000 en contratos anuales). El correo electrónico, enviado al gerente de cuentas por pagar, hacía referencia a una factura urgente de $47,500 relacionada con un proyecto legítimo y solicitaba pago a una 'nueva cuenta' debido a consolidación bancaria reciente. El correo electrónico incluía el logotipo de la empresa real y formato de factura copiado de transacciones previas legítimas. Dentro de 36 horas, el pago fue procesado a través de transferencia bancaria a una cuenta en Singapur. El proveedor real confirmó 14 días después que nunca enviaron la factura. Para ese momento, los fondos habían sido retirados y la cuenta de origen fue cerrada.

Una firma de servicios profesionales con 150 empleados recibió múltiples facturas totalizando $89,000 de lo que parecía ser su proveedor de infraestructura de TI, incluyendo una factura supuestamente para mantenimiento de servidor de emergencia durante una interrupción conocida que la empresa había experimentado. El correo electrónico provenía de '[email protected]' (la empresa real usa '[email protected]'). Tres facturas separadas fueron procesadas durante 8 días antes de que el proveedor real preguntara por qué no habían sido pagados por servicios legítimos que habían completado recientemente. El estafador había monitoreado los problemas de seguridad de correo electrónico de la empresa durante tres semanas y conocía el tiempo exacto de la interrupción.

El director de finanzas de una empresa de consultoría de 45 personas recibió una llamada de alguien que se hacía pasar por un representante de su proveedor de suministros de oficina, indicando que la cuenta de la empresa necesitaba pago inmediato de $12,300 por facturas vencidas antes de que sus servicios fueran suspendidos. El llamante citó números de orden precisos y fechas de entrega de una reciente brecha de datos de la base de datos de clientes del proveedor. El director de finanzas, sintiéndose presionado y preocupado por la continuidad empresarial, procesó el pago el mismo día. Solo cuando el proveedor llamó para hacer seguimiento de la factura legítima tres días después fue descubierto el fraude. El estafador había comprado los datos comprometidos del cliente del proveedor en un mercado de la web oscura por aproximadamente $400.

Frequently Asked Questions

¿Cómo obtienen los estafadores tantos detalles sobre los proveedores de mi empresa y facturación?

Los estafadores obtienen esta información a través de múltiples fuentes: brechas de datos de bases de datos de proveedores que incluyen listas de clientes y detalles de transacciones, correos electrónicos de empleados comprometidos compartidos en mercados de la web oscura, investigación de LinkedIn sobre su personal de finanzas y estructura de empresa, información disponible públicamente en presentaciones regulatorias o sitios web de empresa, e ingeniería social llamadas a proveedores haciéndose pasar por sus empleados. Muchos estafadores exitosos realizan 2-4 semanas de investigación antes de lanzar el ataque.

¿Qué debo hacer si ya he pagado una factura de suplantación de proveedor?

Contacte a su banco o servicio de transferencia bancaria inmediatamente e informe del fraude—muchos bancos pueden detener las transferencias salientes si se reportan dentro de 24 horas. Simultáneamente notifique a su proveedor real, su equipo de seguridad informática, a las autoridades policiales (FBI en ic3.gov), y a su proveedor de seguros de ciberseguridad si tiene una póliza. Preserve toda la evidencia de correo electrónico, incluyendo encabezados y metadatos, para apoyar esfuerzos de recuperación e ayudar a investigaciones de cumplimiento de la ley. La recuperación es difícil después de que los fondos se acreditan, pero reportar dentro de horas mejora significativamente la probabilidad de interceptar la transferencia.

¿Cómo puedo verificar la información de pago de un proveedor sin ofenderlo?

Use un proceso de verificación estandarizado que se aplique a todos los proveedores por igual, de modo que ningún proveedor individual se sienta orientado. Llame a proveedores usando el número de teléfono de sus facturas anteriores o sitio web oficial, nunca números proporcionados en el correo electrónico sospechoso. Simplemente puede decir: 'Recibimos una factura solicitando un cambio de método de pago. Antes de procesar, estoy verificando esto a través de nuestro procedimiento de seguridad estándar. ¿Puede confirmar que su información bancaria actual coincide con [los detalles del correo electrónico]?' Los proveedores legítimos esperan y respetan esta verificación.

¿Cuál es la diferencia entre suplantación de proveedor y compromiso de correo electrónico empresarial (BEC)?

La suplantación de proveedor es un tipo específico de estafa BEC donde el defraudador se hace pasar por un proveedor externo en lugar de pretender ser un ejecutivo dentro de su propia empresa. BEC abarca una categoría más amplia de fraude de correo electrónico empresarial, incluyendo fraude de CEO (suplantación de ejecutivos), estafas de abogados (suplantación de asesoría legal) e impostura de gobierno. Sin embargo, las estrategias de protección son similares: verificar a través de canales independientes, requerir aprobación múltiple para cambios de pago, e implementar autenticación de correo electrónico.

Si mi empresa cae víctima de una estafa de suplantación de proveedor, ¿cuáles son mis obligaciones legales?

Debe reportar el fraude al Centro de Denuncias de Delitos por Internet del FBI (ic3.gov) y potencialmente a las autoridades locales, ya que esto apoya investigaciones de fraude más amplias. Puede ser requerido notificar a los clientes si el fraude involucra sus datos (dependiendo de las leyes de notificación de violación de estado). Informe a su banco, a su asegurador de ciberseguridad y a los auditores inmediatamente. Aunque la empresa que cae víctima típicamente soporta la pérdida a menos que el banco haya sido negligente en procesar una transferencia claramente fraudulenta, el reporte temprano y documentación mejoran la oportunidad de recuperación y pueden apoyar reclamaciones de seguro. Consulte con su asesor legal respecto a obligaciones de notificación específicas de su estado e industria.

Empezar Aquí

Verificación de seguridad

Inteligencia

Herramientas e informes

Servicios premium

Extensión y API