La voz de la autoridad: cómo un impostor vació las cuentas de una empresa con cuatro llamadas de teléfono
Historia real de un ataque de ingeniería social contra una empresa de distribución española. Cuatro llamadas. Tres empleados engañados. 510.000 euros transferidos a cuentas en el extranjero. Sin un solo byte de código malicioso.
Los nombres de empresas, personas y datos específicos han sido modificados para proteger la identidad de las partes involucradas. El caso está basado en hechos reales documentados.
El atacante nunca entró en la oficina. Nunca tocó un ordenador. Nunca envió un email. Solo llamó por teléfono. Cuatro veces. Y con esas cuatro llamadas consiguió que tres empleados de Arcotel Distribución —una empresa familiar de 85 personas con sede en Zaragoza— transfirieran 510.000 euros a cuentas en el extranjero en menos de 48 horas.
No era un hacker. No necesitaba serlo. Era un ingeniero social: alguien que entiende cómo funciona la psicología humana mejor que la mayoría de los psicólogos, y que usa ese conocimiento para manipular a personas perfectamente razonables para que hagan cosas perfectamente irrazonables.
La historia de Arcotel es la historia de cómo la autoridad, la urgencia y la confianza —tres mecanismos psicológicos que nos hacen funcionar como sociedad— se convierten en armas en manos equivocadas. Y de cómo una empresa que tenía antivirus, firewall y copias de seguridad quedó completamente indefensa ante alguien que solo necesitaba un teléfono de prepago y tres semanas de investigación en LinkedIn.
4 llamadas
Total de llamadas para ejecutar el ataque
48 horas
Tiempo desde la primera llamada al último pago
510.000 €
Total transferido en tres operaciones
3 víctimas
Empleados manipulados sin saberlo
La preparación: tres semanas leyendo LinkedIn
Los ataques de ingeniería social bien ejecutados no son improvisados. Son el resultado de una investigación meticulosa que los atacantes llaman OSINT —Open Source Intelligence—: la recopilación sistemática de información pública disponible en internet. Y en 2026, las empresas regalan más información de la que imaginan.
El atacante —identificado en el proceso judicial posterior solo como «individuo de entre 35 y 45 años con acento del norte de España»— dedicó aproximadamente tres semanas a estudiar Arcotel antes de hacer su primera llamada. Lo que encontró en fuentes abiertas era más que suficiente para construir un pretexto perfecto.
Lo que el atacante encontró en fuentes públicas
- Nombre completo del director general: Ramón Escudero
- Que Ramón estaba de viaje en una feria en Múnich esa semana
- Nombre y cargo de la directora financiera: Marta Solano
- Nombre del responsable de IT: Javier Pons
- Que la empresa acababa de cerrar una ronda de financiación
Web corporativa + BORME
- Número de teléfono principal de la empresa
- Nombre de la gestoría y asesoría fiscal externa
- Banco principal con el que operaba Arcotel
- Volumen de facturación aproximado (4,2 M€)
- Nombre de los principales proveedores y clientes
Noticias y comunicados
- Nota de prensa sobre la ronda de financiación de 800.000 €
- Entrevista al director general en un medio sectorial
- Mención a una auditoría de cumplimiento en curso
- Nombre del banco que había participado en la financiación
Redes sociales personales
- Fotos de Ramón en la feria de Múnich (publicadas ese mismo día)
- Estilo de comunicación informal del director general
- Nombre de su asistente personal: Carmen
- Que Marta Solano era nueva en el cargo (6 meses)
El dato clave: Ramón Escudero estaba en Múnich. Marta Solano llevaba solo seis meses en el cargo. La empresa acababa de recibir financiación bancaria. Había una auditoría en curso. Con esos cuatro datos, el atacante tenía todo lo que necesitaba para construir un pretexto irresistible.
«La ingeniería social no explota vulnerabilidades en los sistemas. Explota vulnerabilidades en las personas. Y las personas tenemos las mismas vulnerabilidades desde hace miles de años: obedecemos a la autoridad, ayudamos a quien parece necesitarlo y actuamos más rápido cuando creemos que hay urgencia. Eso no va a cambiar con ningún parche de seguridad.»
Primera llamada: el banco que no era el banco
El lunes 17 de febrero de 2025, a las 10:23 de la mañana, Marta Solano recibió una llamada en su teléfono corporativo. El número que aparecía en pantalla era el del banco de Arcotel —el mismo que tenía guardado en sus contactos desde que empezó en el cargo. Lo que Marta no sabía es que ese número había sido falsificado mediante caller ID spoofing.
Reconstrucción de la primera llamada — 10:23h
«Buenos días, le llamo del departamento de Seguridad de CaixaBank. Mi nombre es Alejandro Torres, número de agente 4471. ¿Hablo con la responsable financiera de Arcotel Distribución?»
«Sí, soy Marta Solano, directora financiera. ¿En qué puedo ayudarle?»
«Marta, le llamo porque hemos detectado esta mañana un intento de acceso no autorizado a las cuentas de su empresa. Alguien ha intentado realizar tres transferencias desde su cuenta principal. Las hemos bloqueado de momento, pero necesitamos verificar su identidad y revisar los movimientos autorizados antes de que el sistema se reactive automáticamente a las 12:00. ¿Tiene un momento?»
«Dios mío. Sí, claro, dígame qué necesita.»
En los siguientes 12 minutos, el atacante obtuvo de Marta: el saldo aproximado de las cuentas, los nombres de las personas autorizadas para operar, el proceso interno de aprobación de transferencias y —el dato más valioso— que el director general estaba de viaje en Múnich y era «difícil de localizar».
La llamada terminó con una instrucción aparentemente razonable: «Por seguridad, en las próximas horas puede recibir una llamada de verificación de nuestro sistema automatizado. Es importante que confirme los datos que le pida para que podamos reactivar su cuenta correctamente.» Era la preparación del terreno para la segunda llamada.
Marta colgó convencida de que había hablado con su banco. El número era el correcto. El agente sabía el nombre de la empresa, el nombre del director general, el nombre del banco. Tenía toda la información. ¿Por qué iba a dudar?
El mecanismo psicológico: por qué funcionó
Autoridad
El banco es una figura de autoridad legítima. Cuando llama el banco, se obedece. El atacante reforzó esto con número de agente, departamento específico y tono profesional.
Urgencia
El plazo de las 12:00 creó presión temporal artificial. La urgencia desactiva el pensamiento crítico: cuando hay que actuar «ahora mismo», no hay tiempo para verificar.
Miedo
La amenaza de un acceso no autorizado activó el instinto de protección. Marta quería resolver el problema, no cuestionarlo. El miedo convierte a las víctimas en colaboradoras.
Segunda llamada: el director general que estaba en Múnich
Dos horas después de la llamada del «banco», a las 12:47, Marta recibió otra llamada. Esta vez el número era el del móvil personal de Ramón Escudero, el director general. Ramón estaba en Múnich. Marta lo sabía. Y el atacante también lo sabía.
El número también había sido falsificado. Pero Marta no lo sabía. Y cuando vio el nombre de Ramón en pantalla, lo cogió con la misma naturalidad con que habría cogido cualquier otra llamada de su jefe.
Reconstrucción de la segunda llamada — 12:47h
«Marta, soy Ramón. Estoy en Múnich, acabo de salir de una reunión. Me ha llamado el banco, parece que hay un problema con las cuentas. ¿Estás al tanto?»
* Impostor. El número real de Ramón había sido falsificado.
«Sí, me han llamado esta mañana. Dijeron que habían bloqueado unos intentos de acceso no autorizado. ¿Qué hacemos?»
«Marta, escúchame. Estoy en medio de una negociación muy importante aquí. El banco me ha explicado que para proteger las cuentas necesitan que hagamos una transferencia de verificación a una cuenta de custodia temporal. Es un procedimiento de seguridad estándar. Necesito que lo gestiones tú. Son 170.000 euros. Sé que es mucho, pero es el protocolo del banco para bloquear el acceso fraudulento. Te mando los datos por email ahora mismo.»
«Ramón, ¿estás seguro? Es mucho dinero para una transferencia así...»
«Marta, confío en ti. Por eso te lo pido a ti y no a Carmen. Esto es confidencial, no lo comentes con nadie más de la empresa hasta que yo vuelva. El banco me ha dicho que si hay filtraciones internas el procedimiento se cancela y perdemos la protección. ¿Puedes hacerlo?»
Marta procesó la transferencia de 170.000 euros a las 13:34. Luego esperó el email de Ramón con los datos. El email llegó desde una dirección de Gmail que el atacante había creado esa misma mañana: ramon.escudero.arcotel@gmail.com. Marta no lo cuestionó. Ramón estaba de viaje, era normal que usara el personal.
Las tres señales de alarma que Marta no reconoció
Ningún banco pide transferencias de «verificación»
Los bancos nunca solicitan transferencias para proteger cuentas. Este es el indicador más claro de fraude. Si alguien que dice ser tu banco te pide mover dinero, es una estafa sin excepción.
La petición de confidencialidad es una señal de alarma crítica
Pedir que no se comente con nadie es una táctica clásica para impedir que la víctima consulte con alguien que podría detectar el fraude. La confidencialidad artificial es siempre sospechosa.
El email de confirmación llegó de Gmail, no del dominio corporativo
Ramón tenía email corporativo. Usar Gmail para una instrucción financiera urgente es inusual. Cualquier instrucción de pago debe venir del canal habitual y verificarse por teléfono al número conocido.
Tercera y cuarta llamada: el ataque se amplía
El atacante no se conformó con 170.000 euros. Esa misma tarde, a las 16:15, llamó de nuevo haciéndose pasar por Ramón. Esta vez el pretexto era diferente: la negociación en Múnich había avanzado y necesitaban una segunda transferencia de 190.000 euros para «bloquear la operación» antes del cierre de los mercados europeos.
Marta, que ya había procesado la primera transferencia sin consecuencias aparentes, tenía menos resistencia psicológica. La primera vez había sido la más difícil. La segunda fue casi automática. Procesó los 190.000 euros a las 16:48.
Al día siguiente, martes 18 de febrero, el atacante ejecutó su movimiento más audaz. Esta vez no llamó a Marta. Llamó a Javier Pons, el responsable de IT, haciéndose pasar por un auditor externo de ciberseguridad contratado por el banco para revisar el incidente del día anterior. Javier no sabía nada de lo ocurrido —Marta había guardado la confidencialidad que le habían pedido— y el «auditor» le pidió acceso temporal a los logs del servidor de correo para «verificar que no había habido exfiltración de datos».
Las cuatro llamadas: cronología del ataque
Lunes 10:23
Rol: Banco (Dpto. Seguridad) → Víctima: Marta Solano
Objetivo: Reconocimiento: obtener información interna, nombres, procesos, confirmar que Ramón está de viaje
Éxito total. Marta facilita toda la información sin sospechar.
Lunes 12:47
Rol: Ramón Escudero (Director General) → Víctima: Marta Solano
Objetivo: Primera transferencia: 170.000 € a cuenta de «custodia temporal»
170.000 € transferidos a las 13:34. Marta guarda confidencialidad.
Lunes 16:15
Rol: Ramón Escudero (Director General) → Víctima: Marta Solano
Objetivo: Segunda transferencia: 190.000 € para «bloquear operación en Múnich»
190.000 € transferidos a las 16:48. Total acumulado: 360.000 €.
Martes 09:15
Rol: Auditor externo de ciberseguridad → Víctima: Javier Pons (IT)
Objetivo: Acceso a logs de correo + tercera transferencia de 150.000 € vía Javier
Javier facilita acceso parcial a logs. Transfiere 150.000 € creyendo que es un procedimiento de seguridad. Total: 510.000 €.
El martes por la tarde, Ramón Escudero volvió de Múnich y llamó a la oficina para hacer seguimiento de varios asuntos. En la primera conversación con Marta, en menos de dos minutos, todo salió a la luz. Ramón no había llamado el día anterior. Ramón no había pedido ninguna transferencia. Ramón no sabía nada de ningún auditor de ciberseguridad.
Llamaron al banco a las 18:47. Los 510.000 euros llevaban más de 24 horas fuera del sistema bancario español. Recuperaron 31.200 euros.
El daño: lo que se puede medir y lo que no
Arcotel era una empresa familiar con 85 empleados y una facturación de 4,2 millones de euros. Perder 510.000 euros en 48 horas no es un contratiempo: es una crisis existencial. Lo que vino después fue casi tan duro como el robo en sí.
478.800 €
Pérdida directa no recuperada
De los 510.000 euros transferidos, solo se recuperaron 31.200 a través del recall bancario. El resto fue distribuido en múltiples cuentas en cuatro países en menos de 6 horas.
Crítico
Impacto en la empresa
La pérdida representaba el 11,4% de la facturación anual. La empresa tuvo que renegociar líneas de crédito, aplazar pagos a proveedores y cancelar dos proyectos de inversión planificados.
Devastador
Impacto humano
Marta Solano solicitó la baja por ansiedad a las dos semanas. Javier Pons presentó su renuncia. El director general tardó meses en recuperar la confianza en su equipo y en sí mismo.
Abierto
Proceso judicial
Denuncia ante la Policía Nacional y la Guardia Civil. El atacante nunca fue identificado. El proceso penal sigue abierto tres años después sin resultados concretos.
47.000 €
Investigación y remediación
Análisis forense, asesoría legal especializada, implementación de nuevos protocolos de seguridad, formación del equipo y auditoría de seguridad completa.
Significativo
Daño reputacional
Varios proveedores endurecieron las condiciones de pago. Un cliente importante solicitó una auditoría de seguridad antes de renovar el contrato. La imagen de solidez financiera quedó dañada.
COSTE TOTAL ESTIMADO DEL INCIDENTE
580.000 €+
Incluyendo pérdida directa, costes legales y forenses, impacto en operaciones y coste de remediación. Sin incluir el coste humano ni el daño reputacional a largo plazo.
Lo que Ramón Escudero dijo en el juicio
«Lo más difícil no fue el dinero. Fue mirar a Marta a los ojos y saber que ella había hecho exactamente lo que cualquier persona razonable habría hecho en su situación. Había recibido una llamada de su banco. Había recibido una llamada de su jefe. Había seguido instrucciones. No cometió ningún error que yo no hubiera cometido también. Eso es lo que me quitó el sueño durante meses.»
Declaración de Ramón Escudero ante el juzgado de instrucción, octubre de 2025.
Por qué funcionó: la anatomía del engaño perfecto
El ataque contra Arcotel no fue sofisticado desde el punto de vista técnico. Fue sofisticado desde el punto de vista psicológico. El atacante explotó con precisión quirúrgica los mismos mecanismos que hacen que las organizaciones funcionen: la jerarquía, la confianza, la urgencia y la confidencialidad.
Explotación de la jerarquía
Las instrucciones vinieron del banco (autoridad externa) y del director general (autoridad interna). Cuestionar a ambos simultáneamente requiere una seguridad en uno mismo que muy pocas personas tienen, especialmente cuando llevan solo seis meses en el cargo.
La trampa de la confidencialidad
Pedir que no se comente con nadie aisló a Marta del único recurso que podría haberla salvado: consultar con un compañero. La confidencialidad artificial es la herramienta más efectiva del ingeniero social para impedir la verificación.
Urgencia artificial y plazos falsos
El plazo de las 12:00, el cierre de los mercados europeos, la necesidad de actuar «antes de que sea tarde». Los plazos artificiales desactivan el pensamiento crítico y convierten decisiones que deberían tomar días en decisiones que se toman en minutos.
Información real para construir credibilidad
El atacante sabía el nombre de Ramón, que estaba en Múnich, el nombre del banco, el nombre de la asistente. Cada dato real que mencionaba reducía la desconfianza de Marta. La información pública se convirtió en munición.
Apelación a la confianza personal
«Confío en ti y por eso te lo pido a ti.» Esta frase activó el deseo de Marta de estar a la altura de la confianza depositada. El atacante convirtió la obediencia en un acto de lealtad personal.
Escalada gradual y consistencia
Una vez que Marta procesó la primera transferencia, la segunda fue mucho más fácil. El principio de consistencia psicológica hace que las personas tiendan a actuar de forma coherente con sus decisiones anteriores, aunque esas decisiones fueran erróneas.
El dato que debería preocuparte
Según el 2025 Verizon Data Breach Investigations Report, el 68% de las brechas de seguridad involucran el factor humano: ingeniería social, errores o uso indebido de privilegios. El coste medio de un incidente de ingeniería social para una empresa mediana supera los 240.000 euros. Y la tasa de recuperación del dinero robado mediante fraude telefónico es inferior al 8%.
Lo más inquietante: el 74% de las víctimas de CEO fraud y vishing empresarial afirman que, en el momento del ataque, no tenían ninguna razón para sospechar. El atacante era convincente. El contexto era plausible. Las señales de alarma no eran obvias. Eso no es un fallo de inteligencia: es el resultado de no haber recibido formación específica para reconocer estos patrones.
Lo que habría cambiado el desenlace
Ninguna de las medidas que habrían evitado este ataque requería tecnología avanzada ni grandes inversiones. La mayoría son procedimientos y protocolos que se pueden implementar en una tarde. El problema no era la falta de recursos: era la falta de conciencia de que este tipo de ataque existía y de que podía pasarles a ellos.
Protocolo de verificación obligatorio para transferencias
El error que cometió Arcotel
Arcotel no tenía ningún protocolo formal para transferencias urgentes. Marta procesó 360.000 euros en un día basándose únicamente en llamadas telefónicas y un email de Gmail, sin ninguna verificación adicional.
Lo que debería haberse hecho
Cualquier transferencia superior a un umbral definido (por ejemplo, 10.000 €) debe requerir: (1) solicitud por escrito desde el email corporativo, (2) confirmación verbal por teléfono al número conocido del solicitante (no al que aparezca en la llamada), (3) aprobación de una segunda persona. Este protocolo habría bloqueado el ataque en la primera transferencia.
Formación específica en ingeniería social para todo el equipo
El error que cometió Arcotel
Ni Marta ni Javier habían recibido formación sobre técnicas de ingeniería social, CEO fraud o vishing. No reconocieron las señales de alarma porque nadie les había enseñado a hacerlo.
Lo que debería haberse hecho
Una sesión de formación anual de dos horas con simulaciones reales de vishing y pretexting habría dado a Marta las herramientas para reconocer los patrones: urgencia artificial, petición de confidencialidad, solicitud de transferencias por teléfono. El conocimiento previo es el único antídoto real contra la ingeniería social.
Política de «ningún banco pide transferencias»
El error que cometió Arcotel
Marta no sabía que ningún banco legítimo solicita transferencias para proteger cuentas. Esta información básica, que parece obvia en retrospectiva, no era conocida por el equipo financiero de Arcotel.
Lo que debería haberse hecho
Una política documentada y comunicada a todo el equipo: «Nuestro banco nunca pedirá transferencias de verificación. Si alguien que dice ser el banco lo solicita, es una estafa. Cuelga y llama al número oficial.» Simple, claro, efectivo.
Canal de comunicación de emergencia para el director general
El error que cometió Arcotel
Cuando Ramón estaba de viaje, no había un protocolo claro para verificar instrucciones urgentes. Marta no tenía forma de confirmar que la llamada era realmente de Ramón sin llamarle al mismo número desde el que le habían llamado.
Lo que debería haberse hecho
Un canal de verificación secundario acordado de antemano: una palabra clave, un número de teléfono alternativo conocido solo internamente, o un sistema de confirmación por un segundo canal (WhatsApp corporativo, por ejemplo). Cualquier instrucción financiera urgente de un directivo de viaje debe verificarse por este canal antes de ejecutarse.
Cultura de «está bien preguntar y verificar»
El error que cometió Arcotel
Marta sintió que cuestionar las instrucciones de su jefe —especialmente siendo nueva en el cargo— era inapropiado. La cultura de la empresa no había establecido explícitamente que verificar instrucciones inusuales era no solo aceptable sino obligatorio.
Lo que debería haberse hecho
Una cultura de seguridad explícita: «En esta empresa, verificar instrucciones inusuales no es desconfianza, es responsabilidad. Nadie será penalizado por pausar y confirmar antes de ejecutar una transferencia importante.» Esta cultura debe venir del director general y comunicarse activamente.
Limitación de información pública en redes sociales
El error que cometió Arcotel
LinkedIn y las redes sociales de Ramón revelaron que estaba de viaje en Múnich, el nombre de su asistente, el banco de la empresa y el contexto de la ronda de financiación. Toda esa información fue usada para construir el pretexto.
Lo que debería haberse hecho
Una política de redes sociales corporativas que limite la información operativa publicada: no anunciar viajes de directivos en tiempo real, no mencionar el banco de la empresa, no publicar detalles de operaciones financieras en curso. La información pública es munición para el atacante.
Los 6 tipos de ingeniería social que debes conocer
El caso de Arcotel combinó vishing y pretexting, pero la ingeniería social tiene muchas variantes. Conocerlas es el primer paso para reconocerlas cuando ocurren.
Vishing
Ataque por llamada de voz. El atacante se hace pasar por el banco, soporte técnico, un directivo o una autoridad. Usa urgencia, autoridad y miedo para conseguir que la víctima actúe sin pensar.
EJEMPLO: Llamada del «banco» avisando de un cargo fraudulento que hay que cancelar «ahora mismo».
Pretexting
Creación de una identidad o historia falsa para ganarse la confianza. El atacante investiga a fondo a la víctima y construye un escenario creíble que justifica sus peticiones.
EJEMPLO: Auditor externo que necesita acceso temporal a los sistemas para «revisar el cumplimiento normativo».
CEO Fraud
El atacante suplanta al máximo directivo para presionar a empleados de finanzas. Combina urgencia, confidencialidad y autoridad jerárquica. Pérdidas medias superiores a 130.000 € por incidente.
EJEMPLO: Email o llamada del «CEO» pidiendo una transferencia urgente y confidencial para cerrar una adquisición.
Tailgating / Piggybacking
Acceso físico no autorizado a instalaciones siguiendo a un empleado legítimo. El atacante se presenta como técnico, mensajero o visitante para entrar en zonas restringidas.
EJEMPLO: Técnico de «mantenimiento» que entra a la sala de servidores aprovechando que alguien le abre la puerta.
Baiting
El atacante deja dispositivos infectados (USB, discos) en lugares donde los empleados los encontrarán. La curiosidad hace el resto: alguien lo conecta y el malware se instala automáticamente.
EJEMPLO: USB con la etiqueta «Nóminas 2026» encontrado en el aparcamiento de la empresa.
Tech Support Scam
El atacante se hace pasar por soporte técnico (Microsoft, el proveedor de IT de la empresa) para conseguir acceso remoto al equipo. Una vez dentro, instala malware o roba credenciales.
EJEMPLO: Llamada de «Microsoft» avisando de un virus crítico que hay que eliminar «de inmediato» con acceso remoto.
La regla de oro: pausa, verifica, actúa
Todos los ataques de ingeniería social tienen algo en común: requieren que la víctima actúe rápido, sin pensar, sin verificar. La urgencia artificial es el ingrediente universal. Por eso la defensa más efectiva es también la más simple: cualquier petición inusual que no pueda esperar 10 minutos es sospechosa por definición.
Pausa. Cuelga. Llama tú al número oficial. Consulta con un compañero. Activa el protocolo de verificación. Esos 10 minutos son la diferencia entre ser víctima y no serlo. Y ningún atacante, por convincente que sea, puede quitarte el derecho a tomarte esos 10 minutos.
Preguntas frecuentes sobre ingeniería social
¿Sabría tu equipo reconocer esta llamada?
El atacante de Arcotel no necesitó ninguna herramienta técnica. Solo necesitó que nadie en la empresa supiera que este tipo de ataque existía. La formación es el único antídoto real contra la ingeniería social.
Artículos relacionados
El hombre en el medio: cómo un atacante invisible robó 340.000 € sin tocar un solo servidor
Historia real novelada de un ataque Man-in-the-Middle (MITM) contra una consultora española: cómo el atacante interceptó 1.847 emails durante 23 días, manipuló una transferencia de 340.000 € y operó sin dejar rastro. Qué es un MITM, cómo funciona y cómo protegerse.
Principales plataformas de ciberseguridad automatizadas todo-en-uno en 2026
Análisis objetivo de las 9 mejores plataformas XDR y de seguridad unificada para empresas medianas en 2026: Microsoft Defender, CrowdStrike, Sophos, Coro, SentinelOne y más. Descubre cuál encaja mejor con tu organización.
NIS2 para empresas: qué es y cómo cumplirla sin ser técnico
Guía práctica sobre la directiva NIS2 para responsables de empresa: qué obliga, a quién afecta, plazos, sanciones y cómo adaptarse sin conocimientos técnicos. Cumplimiento NIS2 en España 2026.