Si trabajas en Mallorca y esperas el ingreso puntual de fin de mes, cuidado: hay quien intenta llevárselo por la puerta de atrás. Varias empresas de la isla han detectado correos que piden, con prisas y tono amable, cambiar la cuenta donde se ingresa el salario. El remitente usa el nombre real del trabajador, pero no su dirección auténtica, un detalle que ha encendido las alarmas al comprobarlo con la persona implicada.
Aun así, se conocen casos de compañías que han hecho el cambio y han caído en la trampa. El aviso ha llegado tras alertas trasladadas a Crónica Balear por empresas mallorquinas. Y no hay ciberataques de película: basta con 1 correo bien escrito para que, al mes siguiente, el trabajador descubra que no ha cobrado.
¿Qué está pasando en Mallorca con las nóminas?
Varias empresas de Mallorca han reportado intentos de fraude consistentes en suplantar a empleados para desviar la nómina a otra cuenta. La maniobra llega por correo electrónico firmado con el nombre del trabajador y solicita un cambio urgente de cuenta bancaria para el salario mensual, una gestión que suena rutinaria y que, de primeras, no suele levantar sospechas.
La alerta saltó al comprobar que el remitente no coincidía con la dirección real del empleado y, al verificarlo con la persona, esta negó haber pedido nada. Sin embargo, también se conocen compañías que sí efectuaron el cambio y, por tanto, cayeron en la estafa: el sueldo se desvió a la cuenta de los estafadores y el afectado lo detectó al no cobrar al mes siguiente.
¿Cómo opera el fraude de desvío de nómina (payroll diversion fraud)?
Se trata de una técnica de suplantación pensada para desviar salarios sin hackear nada. El delincuente imita al trabajador (con su nombre completo o un alias verosímil) y plantea una gestión aparentemente normal: “cambiar el número de cuenta” o “actualizar los datos bancarios”. El mensaje va al grano, cordial, y sin enlaces ni archivos adjuntos, por lo que no siempre se marca como spam. En pocas palabras: es desvío de nómina mediante suplantación, es decir, cambiar la cuenta del empleado para redirigir su salario.
Si nadie comprueba la petición por un canal alternativo, el departamento de administración o Recursos Humanos (RRHH) procesa el cambio y el siguiente pago se envía a la cuenta de los estafadores. Por lo tanto, sin accesos internos ni contraseñas robadas, un simple paso administrativo mal verificado puede costar un salario entero, que no es precisamente una suscripción que se pueda pausar.
¿Por qué funciona y cómo blindar a tu empresa?
Según los expertos, funciona porque explota un punto débil: los procedimientos internos. Cambiar la cuenta bancaria de un empleado se percibe como una gestión menor y, en algunas empresas, basta con 1 correo electrónico para tramitarlo. Entre los factores que favorecen el engaño (4 muy claros): es una petición frecuente y aparentemente normal; no siempre se exige verificación adicional; los estafadores usan direcciones muy parecidas a las reales; y no necesitan acceso al correo corporativo, solo una suplantación convincente.
Este fraude puede afectar a grandes empresas y también a pymes. En organizaciones con muchos empleados, RRHH puede pasar por alto detalles por volumen de trabajo; en compañías pequeñas, donde la administración recae en pocas personas, la falta de protocolos estrictos dispara el riesgo. En resumen: demasiado papeleo para muy poca gente y, además, con prisas.
¿Qué hacer si ya han cambiado la cuenta? Pasos rápidos
Si sospecháis que se ha tramitado un cambio de cuenta falso, hay que actuar en serio y sin perder tiempo. No es momento de confiar en el “ya lo miro luego”: el dinero está en juego.
- Avisar cuanto antes al banco para intentar bloquear la transferencia.
- Informar a la Policía Nacional o Guardia Civil.
- Revisar los protocolos internos para cerrar brechas y evitar nuevos incidentes.
Tras estos 3 pasos, conviene documentar lo ocurrido y mantener un seguimiento con las entidades implicadas. En consecuencia, el objetivo es cortar el desvío y que no vuelva a repetirse.
Consejos para empresas y trabajadores: verificación mínima y hábitos útiles
Para empresas de la isla, 6 medidas concretas y aplicables: no realizar ningún cambio de cuenta bancaria sin verificación; confirmar la solicitud mediante llamada directa o videollamada al trabajador (verificación por un canal alternativo); implantar un formulario oficial, digital o físico, para cambios de datos bancarios; activar notificaciones automáticas en el sistema de nóminas cuando se editen datos sensibles; configurar correctamente la autenticación de correo (comprobar que el email viene de quien dice ser antes de aceptarlo); y formar periódicamente a administración y RRHH para detectar suplantaciones.
Para trabajadores, 4 hábitos que ayudan: avisar si reciben mensajes extraños que parezcan enviados por ellos mismos; comprobar cada mes que la nómina ha llegado a la cuenta correcta; activar alertas bancarias para detectar movimientos inusuales; y evitar compartir datos personales por correo sin verificar la legitimidad del destinatario. ¿La idea? Que un cambio de cuenta no se cuele sin que nadie se dé cuenta.