01/06/2026
El pasado 28 de abril, BBVA celebró el webinar “Ciberseguridad Empresarial: cómo actuar ante las nuevas amenazas”, con el objetivo de ayudar a nuestros clientes de Banca Empresas e Instituciones a reconocer las técnicas de fraude más utilizadas por los ciberdelincuentes y proporcionarles consejos de seguridad claros y fáciles de aplicar para proteger su negocio.
Desde BBVA agradecemos la confianza depositada en el banco y la gran acogida del evento. En este artículo damos respuesta a las preguntas y dudas planteadas durante la celebración del webinar.
¿Existe alguna guía o resumen sobre ciberseguridad? ¿Hay un protocolo o conjunto de medidas de ciberseguridad estándar que se pueda compartir?
Cuando hacemos una transferencia, desde hace poco se verifica el beneficiario con el número de cuenta. Sin embargo, no hay aún verificación de remesas de pago donde hay varios proveedores. ¿Para cuándo tendremos esta mejora?
¿Hay algún antivirus que recomienden? ¿Debemos desconfiar de los antivirus? ¿Qué antivirus es el mejor actualmente?
¿Cómo podemos reconocer un correo electrónico malicioso o phishing?
Los correos electrónicos fraudulentos (phishing) suelen solicitar información privada o realizar una acción con urgencia. Asimismo, el dominio del remitente, (lo que va después del @) no coincide exactamente con el sitio web oficial de la empresa que dice ser.
Nunca descargues archivos .zip, .exe o incluso documentos de Office (.docx, .xlsx) que provengan de un remitente desconocido o no hayas solicitado. Pueden contener malware que se ejecuta en el momento en que abres el archivo.
En este artículo se puede ampliar la información.
Si el factor humano es muy importante, ¿podrían dar instrucciones de "qué no hacer"?
¿Qué ocurre si no reporto un correo electrónico malicioso y solo lo elimino?
Eliminar el correo reduce significativamente el riesgo de interacción con contenido malicioso, ya que corta de raíz la posibilidad de hacer clic en un enlace fraudulento o descargar un archivo infectado.
Sin embargo, cuando solo se elimina el correo, se pierde la oportunidad de "entrenar" a los filtros de seguridad. Al marcar un correo como phishing o spam, ayudas a que el algoritmo de tu proveedor (Gmail, Outlook, etc.) reconozca ese patrón. Además, si lo reportas el sistema podría bloquear a ese remitente para que otros usuarios no reciban el correo.
¿Qué herramientas existen para la prevención de ciberataques?
Existen diversas herramientas de seguridad para la protección de la información y de los sistemas en las empresas:
- Sistema EDR (Detección y Respuesta de Puntos de Acceso): supervisa continuamente los equipos para detectar y neutralizar amenazas complejas, como determinadas variantes avanzadas de ransomware que pueden no ser detectadas por soluciones antivirus convencionales.
- Firewall de Próxima Generación (NGFW): actúa como un equipo de seguridad completo que inspecciona el contenido que intenta entrar o salir de la red.
- Red Privada Virtual (VPN): garantiza que la conexión sea segura, sin importar desde dónde se conecte el empleado.
- Autenticación de Múltiple Factor (MFA): la "llave" de tu empresa. Si un ciberdelincuente roba una contraseña, pero no dispone del segundo factor de autenticación para acceder a una cuenta o servicio, se dificulta significativamente el acceso no autorizado.
- SIEM (Gestión de Eventos e Información de Seguridad): recolecta, analiza y centraliza los datos de seguridad que generan todos los dispositivos de una red para detectar amenazas en tiempo real. - Escáner de vulnerabilidades: analiza los sistemas para detectar puertas abiertas o software sin actualizar que los ciberdelincuentes podrían explotar.
- Backup Inmutable: garantiza que las copias de seguridad no puedan ser borradas ni cifradas por nadie durante un período de tiempo determinado, incluidos accesos con privilegios elevados durante el período de retención configurado.
¿El rastreo del dinero estafado se puede mejorar por parte de las entidades bancarias?
Las entidades financieras trabajan de forma continua para detectar y prevenir las operaciones potencialmente fraudulentas mediante controles avanzados de seguridad, herramientas tecnológicas especializadas y modelos de análisis de comportamiento.
Además, los bancos colaboran dentro de marcos sectoriales y regulatorios destinados a prevenir el fraude, estafas y el blanqueo de capitales, compartiendo información y utilizando mecanismos de seguimiento de fondos sospechosos. Esta colaboración también se extiende, cuando procede, a otras entidades financieras y a organismos públicos y autoridades competentes, como Fuerzas y Cuerpos de Seguridad del Estado y órganos judiciales, con el objetivo de contribuir a la identificación de posibles tramas fraudulentas y facilitar la localización de fondos.
Cuando un cliente comunica una operación no reconocida o no conforme con la misma, BBVA activa los protocolos de análisis y recuperación disponibles, incluyendo la solicitud de retrocesión de fondos a la entidad beneficiaria.
No obstante, la rapidez con la que los fondos pueden ser transferidos entre distintas entidades o países hace que la prevención temprana y la rápida notificación por parte del cliente sean factores clave.
¿Es mejor una llamada al proveedor que solicitar el certificado bancario de la cuenta?
Una llamada nunca sustituye a un certificado de titularidad bancaria. Sin embargo, ambas medidas son complementarias y, en el ámbito de la seguridad empresarial y la prevención del fraude —especialmente frente al denominado “fraude del CEO”—, resulta recomendable combinar ambas verificaciones.
Así, cuando se da de alta a un nuevo proveedor o cuando un proveedor habitual solicita modificar la cuenta de abono de las facturas, debe verificarse siempre la información de pago mediante una llamada telefónica realizada a un número de contacto habitual o previamente validado. A ello debe añadirse la correspondiente comprobación documental de la titularidad de la cuenta bancaria mediante el oportuno certificado.
