El hombre en el medio: cómo un atacante invisible robó 340.000 € sin tocar un solo servidor
Historia real de un ataque Man-in-the-Middle contra una consultora española. El atacante llevaba 23 días leyendo cada email, cada transferencia, cada contrato. Nadie lo vio. Nadie recibió una sola alerta.
Los nombres de empresas, personas y datos específicos han sido modificados para proteger la identidad de las partes involucradas. El caso está basado en hechos reales documentados.
El martes 4 de noviembre de 2025, Nexalia Consulting recibió una transferencia de 340.000 euros. El problema es que no la recibió ella. La recibió alguien que llevaba 23 días sentado, invisible, exactamente en el medio de todas sus comunicaciones.
Nexalia era una consultora de gestión con 47 empleados y sede en Valencia. Trabajaban con clientes medianos del sector industrial, gestionaban proyectos de transformación organizativa y facturaban alrededor de cuatro millones de euros al año. No eran un banco. No manejaban datos de tarjetas de crédito. No tenían infraestructura crítica. Eran, en todos los sentidos, una empresa normal.
Y eso es exactamente lo que las hace objetivo perfecto.
El atacante no entró en sus servidores. No instaló malware. No envió un email de phishing. No necesitó nada de eso. Se colocó entre Nexalia y su cliente más importante, leyó en silencio durante semanas y, cuando llegó el momento, cambió un número de cuenta en un email que nadie revisó dos veces. Así de sencillo. Así de devastador.
23 días
Duración de la intercepción activa
1.847
Emails leídos sin que nadie lo supiera
340.000 €
Transferencia desviada en un solo movimiento
0 alertas
Sistemas de seguridad que detectaron algo
La puerta de entrada: una red que nadie vigilaba
Todo empezó con una decisión que Nexalia tomó en 2023 y que en ese momento pareció perfectamente razonable: instalar un punto de acceso WiFi en la sala de reuniones del cliente para que los consultores pudieran trabajar cómodamente durante las visitas. El router era un modelo doméstico de gama media. La contraseña era el nombre de la empresa seguido de cuatro números. Nadie la había cambiado en dos años.
El atacante —al que los forenses identificarían más tarde como un individuo con conocimientos técnicos medios-altos, probablemente actuando en solitario— llevaba semanas estudiando a Nexalia. Había revisado su web, su LinkedIn, los perfiles de sus consultores, los comunicados de prensa de sus clientes. Sabía que Nexalia tenía un proyecto activo con Industrias Ferrán, un fabricante de componentes de automoción con sede en Castellón. Sabía que ese proyecto estaba en fase de cierre. Y sabía que en los cierres de proyecto se emiten facturas grandes.
Cómo funciona un ataque Man-in-the-Middle: el concepto
Nexalia
Cree que habla directamente con su cliente
Atacante
Lee, modifica y reenvía todo
Industrias Ferrán
Cree que habla directamente con Nexalia
Ninguna de las dos partes sabe que hay alguien en el medio. Ambas creen estar manteniendo una conversación privada y directa.
El 12 de octubre de 2025, el atacante se conectó a la red WiFi de la sala de reuniones de Nexalia desde el aparcamiento del edificio. Con una antena direccional de largo alcance —el tipo que se vende en Amazon por menos de 40 euros— y una distribución Linux especializada en auditorías de red, tardó menos de cuatro minutos en obtener la contraseña por fuerza bruta. A las 11:47 de la mañana, estaba dentro de la red interna de Nexalia.
Lo que hizo a continuación no fue instalar nada. No tocó ningún servidor. No descargó ningún archivo. Simplemente ejecutó un ataque de ARP spoofing: envió mensajes falsos a la red local para que todos los dispositivos creyeran que su dirección MAC era la del router. A partir de ese momento, todo el tráfico de red de la oficina pasaba primero por su portátil antes de llegar a internet. Era el hombre en el medio. Y nadie lo sabía.
«Lo más perturbador del análisis forense no fue lo que encontramos. Fue lo que no encontramos. No había rastro de intrusión en ningún servidor. No había malware. No había archivos modificados. El atacante no dejó nada porque no necesitó entrar en nada. Solo escuchó.»
23 días de silencio: lo que el atacante aprendió
Durante las tres semanas siguientes, el atacante no hizo nada visible. Volvía cada dos o tres días al aparcamiento, se conectaba a la red y descargaba el tráfico interceptado. Era paciente. Metódico. Sabía exactamente qué estaba buscando.
El tráfico HTTPS —que representa la mayoría de las comunicaciones web modernas— estaba cifrado y era ilegible. Pero no todo el tráfico de Nexalia era HTTPS. El servidor de correo interno usaba una configuración SMTP sin cifrado forzado. Algunas aplicaciones de gestión interna se comunicaban por HTTP plano. Y lo más crítico: el cliente de email de escritorio de varios empleados tenía desactivada la verificación estricta de certificados SSL, una configuración heredada de una migración de servidor dos años atrás que nadie había revisado.
Lo que el atacante interceptó en 23 días
Semana 1
- Credenciales de acceso al webmail corporativo de 3 empleados
- Conversaciones internas sobre el estado del proyecto Ferrán
- Nombre del responsable de pagos en Industrias Ferrán
- Importe aproximado de la factura final: «en torno a 340.000»
Semana 2
- Borrador de la factura final con el importe exacto: 342.800 €
- Datos bancarios de Nexalia (IBAN, BIC, titular)
- Proceso interno de aprobación de pagos de Ferrán
- Email del director financiero de Ferrán y su asistente
Semana 3
- Fecha prevista de emisión de la factura: primera semana de noviembre
- Tono y estilo de comunicación entre ambas empresas
- Plantilla exacta de los emails de Nexalia (firma, formato, despedida)
- Cuenta bancaria de destino para el pago: preparada y lista
Con toda esa información, el atacante tenía algo más valioso que cualquier contraseña: tenía contexto. Sabía cómo hablaban entre sí Nexalia y Ferrán. Sabía quién firmaba los emails. Sabía qué palabras usaban, qué tono tenían, qué nivel de formalidad. Podía escribir un email de Nexalia que Ferrán no distinguiría del original aunque lo comparara con los anteriores.
El 3 de noviembre, Nexalia envió la factura final a Industrias Ferrán. El email salió del servidor de Nexalia, llegó al atacante, que lo leyó, lo dejó pasar sin modificar y lo reenvió a Ferrán. Era el ensayo general. Al día siguiente, el atacante envió su propio email.
El golpe: un email que nadie cuestionó
El 4 de noviembre a las 9:14 de la mañana, el director financiero de Industrias Ferrán recibió un email de Nexalia. O al menos eso creyó. El remitente era facturacion@nexalia-consulting.es. La firma era idéntica a la de todos los emails anteriores. El tono era el de siempre. El asunto: «RE: Factura final Proyecto Transformación — Actualización datos bancarios».
Reconstrucción del email fraudulento
De: Nexalia Consulting <facturacion@nexalia-consulting.es>
Para: Roberto Mas <r.mas@ferrán-industrial.es>
Asunto: RE: Factura final Proyecto Transformación — Actualización datos bancarios
Fecha: 4 nov 2025, 09:14
Estimado Roberto,
En relación a la factura nº 2025-0847 que te enviamos ayer, te informamos de que hemos realizado un cambio de entidad bancaria con efectos desde el 1 de noviembre. Por favor, realiza el pago a los nuevos datos que te indicamos a continuación:
Titular: Nexalia Consulting S.L.
IBAN: ES76 0049 1805 2121 1234 5678
BIC/SWIFT: BSCHESMMXXX
Banco: Banco Santander
El IBAN anterior queda anulado a partir de hoy. Disculpa las molestias que este cambio pueda ocasionarte.
Quedamos a tu disposición para cualquier consulta.
Un saludo,
Elena Vidal
Dpto. Facturación y Administración
Nexalia Consulting S.L.
Tel: +34 963 XXX XXX
* El email fue enviado desde un dominio registrado 48 horas antes: nexalia-consulting.es (con guion). El dominio legítimo era nexaliaconsulting.es (sin guion). La diferencia era invisible en la mayoría de clientes de correo.
Roberto Mas, el director financiero de Ferrán, leyó el email a las 9:31. Lo encontró completamente normal. Había recibido decenas de emails de Elena Vidal en los últimos meses. El tono era el mismo. La firma era la misma. El cambio de banco era inusual, sí, pero no insólito: su propia empresa había cambiado de banco el año anterior. Reenvió el email a su asistente con una nota: «Actualiza los datos de Nexalia en el sistema y procesa el pago de la factura 2025-0847».
A las 14:23 del mismo día, Industrias Ferrán transfirió 342.800 euros a la cuenta del atacante.
Nexalia no recibió ninguna notificación. El atacante había bloqueado selectivamente los emails de confirmación de pago que Ferrán envió automáticamente. Para cuando Nexalia llamó a Ferrán tres días después para preguntar por el estado del pago, el dinero llevaba 72 horas en una cuenta en un banco de Europa del Este. Desde allí, había sido fragmentado en 23 transferencias menores y distribuido a través de una red de cuentas mula en seis países diferentes.
El detalle que nadie comprobó
El dominio fraudulento nexalia-consulting.es (con guion) había sido registrado 48 horas antes del ataque por 8,99 euros. Tenía un certificado SSL válido —el candado verde que muchos usuarios interpretan como señal de seguridad—. Si Roberto Mas hubiera pasado el ratón sobre la dirección del remitente y comparado carácter a carácter con los emails anteriores, habría visto la diferencia. Pero nadie hace eso. Nadie tiene tiempo para eso. Y el atacante lo sabía perfectamente.
El descubrimiento: tres días demasiado tarde
El 7 de noviembre, Elena Vidal llamó a Roberto Mas para hacer seguimiento del pago. La conversación duró cuatro minutos y cambió la vida de mucha gente.
La llamada que lo reveló todo
«Roberto, te llamo por la factura 2025-0847. ¿Sabes cuándo podéis procesarla? Estamos cerrando el trimestre.»
«Elena, ya la procesamos el martes. Transferimos a los nuevos datos que nos mandaste. ¿No os ha llegado la confirmación?»
«¿Qué nuevos datos? Nosotros no hemos cambiado de banco. Llevamos con el mismo IBAN cuatro años.»
«Elena... nos mandasteis un email el martes por la mañana. Decía que habíais cambiado de banco. Tengo el email aquí mismo.»
Silencio de cuatro segundos. Luego Elena dijo: «Roberto, llama a tu banco ahora mismo. Llama ahora.»
Ferrán llamó a su banco a las 11:23. La transferencia había salido el martes a las 14:23. Habían pasado 73 horas. El banco confirmó lo que todos temían: el dinero había abandonado el sistema bancario español en menos de dos horas. La orden de recuperación internacional —el llamado recall bancario— se activó de inmediato, pero con 73 horas de ventaja y una red de cuentas mula en seis países, las posibilidades de recuperación eran mínimas.
Recuperaron 18.400 euros. El resto desapareció.
El daño: más allá de los 340.000 euros
En los ataques de este tipo, el daño económico directo es solo la punta del iceberg. Lo que viene después —la investigación, los litigios, la pérdida de confianza, la parálisis operativa— suele costar tanto o más que el robo inicial.
324.400 €
Transferencia no recuperada
De los 342.800 euros transferidos, solo se recuperaron 18.400 a través del recall bancario. El resto fue fragmentado y distribuido en menos de dos horas.
18 meses
Litigio entre empresas
Nexalia y Ferrán se enfrentaron en un proceso civil sobre quién debía asumir la pérdida. El tribunal determinó responsabilidad compartida. Coste legal combinado: más de 60.000 euros.
38.000 €
Investigación forense
Análisis forense de red, reconstrucción del ataque, peritaje judicial y elaboración del informe técnico para el proceso penal y la reclamación al seguro.
Rota
Relación comercial
Industrias Ferrán no renovó el contrato de consultoría con Nexalia. La relación de cinco años terminó. Pérdida de ingresos recurrentes estimada en 180.000 euros anuales.
2 bajas
Impacto en equipo
El director financiero de Nexalia y la responsable de administración presentaron su renuncia en los meses siguientes. El coste de sustitución y la pérdida de conocimiento fue significativo.
6 semanas
Parálisis operativa
Durante seis semanas, Nexalia operó en modo de crisis: auditoría de todas las comunicaciones, cambio de infraestructura, revisión de contratos con clientes y gestión de la comunicación del incidente.
COSTE TOTAL ESTIMADO DEL INCIDENTE
620.000 €+
Incluyendo pérdida directa, costes legales y forenses, pérdida de cliente y coste de remediación. Sin incluir el daño reputacional a largo plazo.
¿Quién pagó? La pregunta que nadie quiere responder
El proceso civil entre Nexalia y Ferrán duró 18 meses. La sentencia determinó responsabilidad compartida: Nexalia por no haber asegurado adecuadamente su red y sus comunicaciones, y Ferrán por no haber verificado el cambio de datos bancarios por un canal alternativo antes de ejecutar una transferencia de esa magnitud. El seguro de ciberriesgos de Nexalia —que tenían contratado, aunque con coberturas insuficientes— cubrió 120.000 euros. El resto lo asumieron ambas empresas en proporciones distintas.
El atacante nunca fue identificado. La investigación policial determinó que operaba desde infraestructura en tres países distintos y que probablemente había ejecutado ataques similares en al menos otras cuatro empresas europeas. El caso sigue abierto.
Por qué funcionó: los seis puntos ciegos de Nexalia
Un ataque Man-in-the-Middle de esta sofisticación no requiere vulnerabilidades de día cero ni recursos de Estado. Requiere que la empresa víctima tenga una combinación de descuidos técnicos y procedimentales que, por separado, parecen menores. Juntos, son letales.
Red WiFi sin segmentación ni contraseña robusta
La red de la sala de reuniones compartía segmento con la red corporativa. Una contraseña débil y sin rotación fue la puerta de entrada. Una red de invitados aislada habría contenido el ataque en el primer paso.
Clientes de email sin verificación estricta de certificados
La configuración heredada que desactivaba la verificación SSL en los clientes de escritorio fue el factor que permitió interceptar el tráfico de correo. Una auditoría de configuración básica lo habría detectado.
Sin detección de ARP spoofing en la red
Un sistema de detección de intrusiones en red (NIDS) básico habría detectado el ARP spoofing en minutos. Nexalia no tenía ningún tipo de monitorización del tráfico interno.
Sin protocolo de verificación para cambios de datos bancarios
Ferrán procesó un cambio de IBAN de 342.800 euros basándose únicamente en un email. Un protocolo simple —llamada telefónica de verificación a un número conocido— habría bloqueado el fraude.
Sin DMARC ni protección anti-spoofing de dominio
El dominio fraudulento nexalia-consulting.es era visualmente casi idéntico al legítimo. Un registro DMARC correctamente configurado no habría impedido el ataque, pero la formación del equipo de Ferrán para verificar dominios sí.
Sin monitorización de tráfico de red anómalo
El ARP spoofing genera patrones de tráfico detectables. Durante 23 días, el atacante operó sin que ningún sistema generara una sola alerta. La visibilidad de red era prácticamente nula.
Lo que habría cambiado el desenlace
Ninguna de las medidas que habrían evitado este ataque era cara ni compleja. La mayoría son configuraciones o procedimientos que cualquier empresa puede implementar en días. El problema no era la falta de recursos: era la falta de conciencia de que el riesgo existía.
Segmentación de red WiFi y contraseñas robustas
El error que cometió Nexalia
La red de la sala de reuniones usaba una contraseña débil y compartía segmento con la red corporativa. Cualquier dispositivo conectado al WiFi de invitados tenía visibilidad sobre el tráfico interno.
Lo que debería haberse hecho
Una red de invitados completamente aislada (VLAN separada, sin acceso a la red corporativa) y una contraseña de al menos 16 caracteres con rotación trimestral habrían impedido que el atacante llegara al tráfico interno desde el aparcamiento.
Verificación estricta de certificados SSL en todos los clientes
El error que cometió Nexalia
Los clientes de email de escritorio tenían desactivada la verificación de certificados SSL por una configuración heredada de una migración antigua. Nadie la había revisado en dos años.
Lo que debería haberse hecho
Una auditoría de configuración de seguridad semestral habría detectado esta configuración en minutos. Forzar la verificación estricta de certificados en todos los clientes de email es una medida básica que no requiere inversión adicional.
Detección de ARP spoofing en la red interna
El error que cometió Nexalia
Nexalia no tenía ningún sistema de detección de intrusiones en red. El ARP spoofing operó durante 23 días sin generar una sola alerta.
Lo que debería haberse hecho
Herramientas como Coro incluyen monitorización de red que detecta patrones anómalos de ARP en tiempo real. Alternativas open source como arpwatch también detectan este tipo de ataques. El coste de implementación es mínimo comparado con el riesgo.
Protocolo obligatorio de verificación para cambios de datos bancarios
El error que cometió Nexalia
Ferrán procesó un cambio de IBAN de más de 340.000 euros basándose únicamente en un email, sin ninguna verificación adicional por canal alternativo.
Lo que debería haberse hecho
Un protocolo simple y documentado: cualquier cambio de datos bancarios de un proveedor debe verificarse mediante llamada telefónica a un número conocido (no al que aparezca en el email) antes de ejecutar el pago. Este procedimiento cuesta cero euros y habría bloqueado el fraude completamente.
Formación en Business Email Compromise (BEC) para equipos financieros
El error que cometió Nexalia
Ni el equipo de Nexalia ni el de Ferrán habían recibido formación específica sobre ataques BEC o MITM. Nadie reconoció las señales de alarma porque nadie sabía que existían.
Lo que debería haberse hecho
Una sesión de formación anual de dos horas sobre fraude por email para los equipos de administración y finanzas —con ejemplos reales y simulaciones— habría dado a Roberto Mas las herramientas para cuestionar ese email antes de procesar el pago.
Seguro de ciberriesgos con cobertura adecuada
El error que cometió Nexalia
Nexalia tenía un seguro de ciberriesgos, pero con coberturas insuficientes para un incidente de esta magnitud. La póliza cubría 120.000 euros de los más de 620.000 de coste total.
Lo que debería haberse hecho
Una revisión anual de la póliza de ciberriesgos con un corredor especializado habría ajustado las coberturas al perfil de riesgo real de la empresa. El sobrecoste de una póliza adecuada habría sido de unos 3.000–5.000 euros anuales.
Protección unificada contra MITM y BEC
Los 6 fallos de Nexalia, resueltos con Coro
Los seis puntos ciegos que permitieron este ataque no requieren seis herramientas distintas. Coro es una plataforma de ciberseguridad unificada para medianas empresas que integra en un único panel: monitorización de red con detección de anomalías, seguridad de email con análisis de dominios sospechosos, protección de endpoints, control de tráfico y formación continua del equipo. Todo lo que Nexalia no tenía.
Detección de anomalías de red
Alerta ante ARP spoofing y tráfico sospechoso
Análisis de dominios en email
Detecta dominios similares al tuyo usados para fraude
Verificación de certificados
Fuerza configuraciones SSL seguras en endpoints
Visibilidad de red WiFi
Monitoriza dispositivos y tráfico en redes corporativas
Formación anti-BEC
Simulaciones de fraude por email para equipos financieros
Panel unificado
Todo visible y gestionable desde un único lugar
Qué es un ataque MITM y por qué es tan difícil de detectar
El caso de Nexalia es un ejemplo de MITM combinado con Business Email Compromise (BEC). Pero los ataques Man-in-the-Middle tienen muchas variantes, y entender cómo funcionan es el primer paso para protegerse.
ARP Spoofing
El atacante envía mensajes ARP falsos en la red local para asociar su dirección MAC con la IP del router. Todo el tráfico de la red pasa por su equipo antes de llegar a internet. Funciona en cualquier red local, incluyendo redes corporativas.
VECTOR PRINCIPAL: Redes locales sin segmentación
DNS Poisoning
El atacante corrompe la caché DNS del dispositivo o del servidor para que las peticiones a dominios legítimos se resuelvan a IPs controladas por él. La víctima escribe la dirección correcta pero llega a un servidor falso.
VECTOR PRINCIPAL: Servidores DNS sin DNSSEC
SSL Stripping
El atacante intercepta la conexión antes de que se establezca el cifrado HTTPS y la degrada a HTTP plano. La víctima cree estar en una conexión segura pero toda la comunicación viaja sin cifrar.
VECTOR PRINCIPAL: Sitios sin HSTS configurado
Evil Twin (WiFi falso)
El atacante crea un punto de acceso WiFi con el mismo nombre (SSID) que una red legítima. Los dispositivos se conectan automáticamente al más potente. Todo el tráfico pasa por el atacante desde el primer momento.
VECTOR PRINCIPAL: Redes WiFi públicas y corporativas
Email Hijacking
El atacante compromete una cuenta de email y monitoriza las conversaciones en curso. Cuando detecta una oportunidad (factura, transferencia, cambio de datos), interviene en el momento preciso con un mensaje fraudulento.
VECTOR PRINCIPAL: Cuentas sin 2FA activado
HTTPS Spoofing
El atacante registra un dominio visualmente idéntico al legítimo (usando caracteres Unicode similares o variaciones mínimas) con un certificado SSL válido. El navegador muestra el candado verde aunque el sitio sea fraudulento.
VECTOR PRINCIPAL: Usuarios que no verifican el dominio
Por qué el MITM es el ataque más difícil de detectar
A diferencia del ransomware —que hace ruido, cifra archivos y exige un rescate— o del phishing —que requiere que la víctima haga algo inusual—, el MITM es completamente silencioso. La víctima sigue haciendo exactamente lo que siempre hace. Sus sistemas funcionan con normalidad. No hay archivos cifrados, no hay mensajes de error, no hay comportamientos extraños.
El atacante no necesita que la víctima cometa un error. Solo necesita estar en el lugar correcto en el momento correcto. Y en una red sin monitorización, ese lugar puede ser el aparcamiento de enfrente.
Preguntas frecuentes sobre ataques MITM
¿Podría haber alguien en el medio de tus comunicaciones ahora mismo?
El atacante de Nexalia operó 23 días sin ser detectado. No necesitó entrar en ningún servidor. Solo necesitó que nadie estuviera mirando. Descubre si tu empresa tiene los controles básicos para detectar este tipo de ataque.
Artículos relacionados
La voz de la autoridad: cómo un impostor vació las cuentas de una empresa con cuatro llamadas de teléfono
Historia real de un ataque de ingeniería social (pretexting + vishing) contra una empresa española: cuatro llamadas, tres empleados engañados y 510.000 € transferidos en 48 horas sin un solo byte de código malicioso. Qué es el pretexting, el vishing y cómo proteger tu empresa.
Principales plataformas de ciberseguridad automatizadas todo-en-uno en 2026
Análisis objetivo de las 9 mejores plataformas XDR y de seguridad unificada para empresas medianas en 2026: Microsoft Defender, CrowdStrike, Sophos, Coro, SentinelOne y más. Descubre cuál encaja mejor con tu organización.
NIS2 para empresas: qué es y cómo cumplirla sin ser técnico
Guía práctica sobre la directiva NIS2 para responsables de empresa: qué obliga, a quién afecta, plazos, sanciones y cómo adaptarse sin conocimientos técnicos. Cumplimiento NIS2 en España 2026.