Por qué el fraude en los pagos es un problema para todas las empresas
Imagine que su equipo de cuentas a pagar recibe un correo electrónico. Parece exactamente un mensaje de un proveedor de toda la vida: el mismo logotipo, la misma despedida, el mismo tono familiar. El mensaje indica que han cambiado los datos bancarios del proveedor y le pide que dirija el siguiente pago a una nueva cuenta. Se realiza el pago. Una semana después, el proveedor real llama preguntando por qué la factura está vencida. Para entonces, el dinero ya ha desaparecido.
No se trata de un escenario hipotético. Les ocurre a empresas de todo el mundo cada día.
El fraude en los pagos no afecta solo a los bancos o a las gestoras de inversión. Afecta a cualquier empresa que pague a proveedores, liquide facturas o reciba pagos de clientes. Y una de las herramientas más prácticas disponibles para combatirlo es el código LEI, algo de lo que la mayoría de las empresas comunes nunca ha oído hablar.
La magnitud del fraude en los pagos es impactante
El fraude en los pagos no es un problema marginal. Según la Association for Financial Professionals, el 76 % de las organizaciones experimentó intentos o casos reales de fraude en los pagos en 2025. Eso significa que dos de cada tres empresas se enfrentan a intentos de fraude en cualquier año.
Los ataques se dirigen precisamente a quienes gestionan las facturas y los pagos cotidianos: contables, responsables financieros y personal de compras. Según el Internet Crime Report 2024 del FBI, el fraude por compromiso del correo electrónico empresarial causó pérdidas de 2,77 mil millones de dólares solo en Estados Unidos en 2024, en 21.442 incidentes notificados. Y esos son solo los casos que se denunciaron.
Cómo funciona el fraude en los pagos: tres esquemas habituales
Todas las formas de fraude en los pagos comparten una condición subyacente: el estafador tiene éxito porque la víctima no puede verificar rápidamente la identidad de la contraparte.
Fraude de facturas y suplantación de proveedores
El estafador identifica a un proveedor habitual de su red y envía una factura que parece idéntica a una auténtica. Solo cambian los datos bancarios. En muchos casos, no se necesita acceso a ningún sistema. Basta con información disponible públicamente, una dirección de correo similar y algo de paciencia. Las pequeñas empresas están especialmente expuestas porque suelen tener menos pasos formales de verificación.
Compromiso del correo electrónico empresarial
El compromiso del correo electrónico empresarial, o BEC, es más sofisticado y más dañino. El estafador obtiene acceso a la cuenta de correo de su proveedor, supervisa la correspondencia durante semanas e interviene en el momento preciso, justo antes de que venza una factura importante. Solo se cambian los datos de pago, y el dinero va a la cuenta equivocada.
Lo que dificulta detectarlo es que el mensaje proviene de una dirección de correo auténtica, sigue un hilo de conversación real y no contiene señales técnicas de fraude. Los filtros de seguridad de correo estándar no lo detienen.
Creación de un proveedor falso
El estafador crea una empresa ficticia, la registra, crea un sitio web y presenta una propuesta. La empresa firma un contrato, paga un anticipo y el proveedor desaparece. Este esquema suele dirigirse a organizaciones más grandes con procesos de compras más complejos.
En los tres casos, la víctima no pudo verificar de forma fiable con quién estaba tratando realmente. Un nombre de empresa no es un identificador único, y los estafadores explotan deliberadamente esa brecha.
Por qué la verificación de identidad es tan difícil
Los números de registro son específicos de cada jurisdicción. Un número de registro mercantil estonio no significa nada para un banco alemán o un socio en Singapur. Cada país utiliza su propio formato, su propio registro y su propio idioma. En los negocios transfronterizos, esto significa que verificar la identidad de una contraparte requiere un trabajo manual lento.
Los nombres de empresa no son únicos. Muchas jurisdicciones permiten nombres similares o incluso idénticos en distintos países. Los estafadores registran empresas cuyos nombres se parecen mucho a los de organizaciones conocidas y se apoyan en el hecho de que los equipos financieros, con prisas, pueden no notar la diferencia.
Qué muestra realmente el código LEI
El código LEI, o Identificador de Entidad Jurídica (Legal Entity Identifier), es un identificador único de 20 caracteres que cualquier entidad jurídica del mundo puede obtener. GLEIF, la Global Legal Entity Identifier Foundation, mantiene una base de datos pública con información verificada y actualizada de cada entidad registrada.
Una búsqueda de LEI devuelve lo siguiente:
Datos de nivel 1 (“quién es quién”): denominación legal, domicilio social, país y jurisdicción, número de registro mercantil y registro, tipo de entidad, estado del LEI (Activo o Caducado) e historial de cambios del registro.
Datos de nivel 2 (“quién posee a quién”): entidad matriz directa y entidad matriz última dentro de una estructura corporativa.
Lo que una búsqueda de LEI no muestra: datos de cuentas bancarias, números de contacto ni personas físicas. Comprender esto es importante para usar la herramienta correctamente.
La base de datos de LEI es gratuita, abierta y no requiere registro. Está disponible en GLEIF LEI Search.
Cómo funciona el LEI contra el fraude en la práctica
Verificación manual en tres pasos
Paso 1: solicite el código LEI a cualquier proveedor nuevo. Añada un único campo a su proceso de alta de proveedores: código LEI. Es una parte estándar de la diligencia debida de la contraparte que un número creciente de empresas ya aplica de forma habitual.
Paso 2: verifique el código en la base de datos de GLEIF. Introduzca el código LEI en GLEIF LEI Search o utilice la herramienta de búsqueda de LEI de nuestro sitio web. Verá de inmediato la denominación legal, el domicilio social y el número de registro mercantil. Compárelos con lo que aparece en la factura o el contrato. Si todo coincide, la identidad queda confirmada. Si no coincide, es una señal de alerta clara.
Preste atención también al estado del LEI. Activo significa que los datos están vigentes y verificados. Caducado significa que la entidad no ha renovado su LEI y la exactitud de los datos es incierta. Un LEI caducado es en sí mismo una señal de riesgo que no debe pasarse por alto.
Paso 3: trate cualquier cambio de datos bancarios como un proceso de dos pasos. El LEI no muestra información de cuentas bancarias, por lo que no puede sustituir por completo una comprobación manual en esta situación. Pero aun así ayuda. Si recibe una solicitud para cambiar los datos de pago, primero verifique mediante el LEI que el remitente es quien dice ser. Después, llame al proveedor directamente utilizando un número de contacto que ya figure en sus registros, no uno proporcionado en el nuevo mensaje. Estos dos pasos juntos cubren los escenarios más comunes de fraude de facturas.
Verificación automatizada para organizaciones más grandes
Para las organizaciones más grandes que gestionan cientos de proveedores y procesan grandes volúmenes de pagos, las comprobaciones manuales son demasiado lentas. Aquí es donde el LEI resulta especialmente valioso, porque es un formato de datos estructurado y legible por máquina.
GLEIF ofrece una API pública que permite integrar los datos del LEI directamente en el software empresarial. Una plataforma de cuentas a pagar o un sistema de gestión de proveedores puede consultar automáticamente la base de datos de GLEIF para cada nueva contraparte, comparar los resultados con los registros existentes y señalar cualquier discrepancia para revisión humana. La verificación de identidad ocurre en segundo plano, sin que nadie tenga que buscar manualmente.
El LEI en el marco regulatorio
El código LEI no es solo una herramienta voluntaria. Los reguladores de todo el mundo han empezado a vincularlo directamente con la seguridad de los pagos y la prevención del fraude.
El Reglamento de Pagos Instantáneos de la UE exige que todos los proveedores de servicios de pago de la zona euro verifiquen el nombre del beneficiario antes de procesar transferencias instantáneas desde octubre de 2025. El reglamento reconoce el LEI como una herramienta para automatizar la coincidencia de un IBAN con el nombre del titular de la cuenta. Esto reduce directamente el riesgo de fraude por pagos push autorizados, en el que los fondos se envían a una cuenta controlada por un estafador. Para más detalles, consulte nuestro artículo sobre LEI y verificación del beneficiario.
El Grupo de Acción Financiera Internacional (GAFI/FATF) actualizó su estándar internacional de transparencia en pagos, la Recomendación 16, en junio de 2025. Según el estándar revisado, los pagos transfronterizos superiores a 1.000 euros o dólares deben incluir información verificada tanto del ordenante como del beneficiario. Cuando la parte es una entidad jurídica, el LEI es uno de los identificadores aceptados. El estándar entra plenamente en vigor en 2030.
Qué puede hacer su empresa hoy
Obtenga un código LEI para su empresa. Con un LEI, puede compartir un identificador verificado con sus socios, incluirlo en facturas y contratos, y utilizarlo como prueba de que su empresa es quien dice ser. Esto es especialmente importante en transacciones transfronterizas, donde su contraparte puede no estar familiarizada con su registro mercantil local. El registro lleva unos minutos y el LEI se emite casi de inmediato: registre su código LEI.
Exija un LEI a sus proveedores. Añada un campo a su proceso de alta de proveedores. La verificación es gratuita y lleva segundos. Si los datos coinciden, tiene confirmación. Si no coinciden, tiene motivos para hacer preguntas antes de realizar un pago.
Aplique una norma para cambios de datos bancarios. Cualquier solicitud de cambio de datos de pago debe requerir dos confirmaciones: una comprobación del LEI y una llamada telefónica a un número de contacto que ya conste en sus registros. Esta única norma habría evitado la mayoría de los casos clásicos de fraude de facturas.
Incluya su LEI en sus facturas. Esto ayuda a sus socios a verificar su identidad y señala que su empresa se toma en serio la transparencia.
Resumen
La mayoría del fraude en los pagos tiene éxito porque la identidad de la contraparte es difícil de verificar de forma rápida y fiable. El código LEI aborda un punto débil específico y muy común: un identificador único global, verificable públicamente, hace que el fraude sea significativamente más difícil de llevar a cabo. Las pequeñas empresas pueden realizar la comprobación manualmente en segundos. Las organizaciones más grandes pueden automatizar el proceso por completo.
Si su empresa aún no tiene un código LEI, obtenerlo es el paso más sencillo que puede dar hoy para mejorar la seguridad de sus pagos: registre su código LEI.
Si su código LEI necesita renovarse, puede hacerlo aquí: renueve su código LEI.