Por qué el fraude de pagos es un problema de todas las empresas
Imagine que su equipo de cuentas por pagar recibe un correo electrónico. Se ve exactamente como un mensaje de un proveedor de larga data: el mismo logotipo, la misma despedida, el mismo tono familiar. El mensaje indica que los datos bancarios del proveedor han cambiado y solicita que el próximo pago se dirija a una nueva cuenta. Se realiza el pago. Una semana después, el proveedor real llama preguntando por qué la factura está vencida. Para entonces, el dinero ya desapareció.
Este no es un escenario hipotético. Sucede a diario en empresas de todo el mundo.
El fraude de pagos no solo afecta a bancos o empresas de inversión. Afecta a todas las empresas que pagan a proveedores, liquidan facturas o reciben pagos de clientes. Y una de las herramientas más prácticas disponibles para contrarrestarlo es el código LEI, algo que la mayoría de las empresas comunes nunca ha escuchado.
La magnitud del fraude de pagos es impactante
El fraude de pagos no es un problema marginal. Según la Association for Financial Professionals, el 76% de las organizaciones experimentó intentos o casos reales de fraude de pagos en 2025. Esto significa que dos de cada tres empresas enfrentan intentos de fraude en cualquier año determinado.
Los ataques están dirigidos precisamente a las personas que manejan facturas y pagos cotidianos: contadores, gerentes financieros y personal de adquisiciones. Según el Informe de delitos en Internet 2024 del FBI, el compromiso de correo electrónico empresarial causó pérdidas de 2.770 millones de dólares solo en Estados Unidos en 2024, en 21.442 incidentes reportados. Y esos son solo los casos que se reportaron.
Cómo funciona el fraude de pagos: tres esquemas comunes
Todas las formas de fraude de pagos comparten una condición subyacente: el estafador tiene éxito porque la víctima no puede verificar rápidamente la identidad de la contraparte.
Fraude de facturas y suplantación de proveedores
El estafador identifica un proveedor habitual en su red y envía una factura que se ve idéntica a una genuina. Solo los datos bancarios son diferentes. En muchos casos, no se necesita acceso al sistema. Información disponible públicamente, una dirección de correo electrónico similar y algo de paciencia son suficientes. Las empresas más pequeñas están particularmente expuestas porque tienden a tener menos pasos formales de verificación implementados.
Compromiso de correo electrónico empresarial
El compromiso de correo electrónico empresarial, o BEC, es más sofisticado y más perjudicial. El estafador obtiene acceso a la cuenta de correo electrónico de su proveedor, monitorea la correspondencia durante semanas e interviene en el momento preciso, justo antes de que venza una factura grande. Solo se cambian los datos de pago y el dinero va a la cuenta equivocada.
Lo que hace que esto sea difícil de detectar es que el mensaje proviene de una dirección de correo electrónico genuina, sigue un hilo de conversación real y no contiene signos técnicos de fraude. Los filtros de seguridad de correo electrónico estándar no lo detienen.
Creación de proveedores falsos
El estafador crea una empresa ficticia, la registra, construye un sitio web y presenta una propuesta. La empresa firma un contrato, paga un anticipo y el proveedor desaparece. Este esquema tiende a dirigirse a organizaciones más grandes con procesos de adquisición más complejos.
En los tres casos, la víctima no pudo verificar de manera confiable con quién estaba tratando realmente. Un nombre de empresa no es un identificador único, y los estafadores explotan esa brecha deliberadamente.
Por qué la verificación de identidad es tan difícil
Los números de registro son específicos de cada jurisdicción. Un número de registro empresarial estonio no significa nada para un banco alemán o un socio en Singapur. Cada país utiliza su propio formato, su propio registro y su propio idioma. En los negocios transfronterizos, esto significa que verificar la identidad de una contraparte requiere un trabajo manual lento.
Los nombres de empresas no son únicos. Muchas jurisdicciones permiten nombres similares o incluso idénticos en diferentes países. Los estafadores registran empresas cuyos nombres se asemejan mucho a organizaciones conocidas y confían en que los equipos financieros ocupados no noten la diferencia.
Qué muestra realmente el código LEI
El código LEI, o Identificador de Entidad Legal, es un identificador único de 20 caracteres que cualquier entidad legal en el mundo puede obtener. GLEIF, la Global Legal Entity Identifier Foundation, mantiene una base de datos pública que contiene información verificada y actualizada para cada entidad registrada.
Una consulta de LEI devuelve lo siguiente:
Datos de nivel 1 (“quién es quién”): nombre legal, domicilio registrado, país y jurisdicción, número de registro empresarial y registro, tipo de entidad, estado del LEI (Activo o Vencido) e historial de cambios en el registro.
Datos de nivel 2 (“quién posee a quién”): entidad matriz directa y entidad matriz final dentro de una estructura corporativa.
Lo que una consulta de LEI no muestra: datos de cuentas bancarias, números de contacto o personas naturales. Comprender esto es importante para utilizar la herramienta correctamente.
La base de datos LEI es gratuita, abierta y no requiere registro. Está disponible en GLEIF LEI Search.
Cómo funciona el LEI contra el fraude en la práctica
Verificación manual en tres pasos
Paso 1: Solicite el código LEI a cualquier proveedor nuevo. Agregue un solo campo a su proceso de incorporación de proveedores: código LEI. Esta es una parte estándar de la debida diligencia de contrapartes que un número creciente de empresas ahora aplica como práctica habitual.
Paso 2: Verifique el código en la base de datos de GLEIF. Introduzca el código LEI en GLEIF LEI Search o utilice la herramienta de búsqueda de LEI en nuestro sitio web. Verá inmediatamente el nombre legal, el domicilio registrado y el número de registro empresarial. Compare estos datos con lo que aparece en la factura o el contrato. Si todo coincide, la identidad está confirmada. Si no coincide, esa es una señal de advertencia clara.
Preste atención también al estado del LEI. Activo significa que los datos están actualizados y verificados. Vencido significa que la entidad no ha renovado su LEI y la exactitud de los datos es incierta. Un LEI vencido es en sí mismo una señal de riesgo que no debe pasarse por alto.
Paso 3: Trate cualquier cambio en los datos bancarios como un proceso de dos pasos. El LEI no muestra información de cuentas bancarias, por lo que no puede reemplazar completamente una verificación manual en esta situación. Pero aún así ayuda. Si recibe una solicitud para cambiar los datos de pago, primero verifique a través del LEI que el remitente es quien dice ser. Luego llame al proveedor directamente utilizando un número de contacto que ya tenga en sus registros, no uno proporcionado en el nuevo mensaje. Estos dos pasos juntos cubren los escenarios de fraude de facturas más comunes.
Verificación automatizada para organizaciones más grandes
Para organizaciones más grandes que gestionan cientos de proveedores y procesan grandes volúmenes de pagos, las verificaciones manuales son demasiado lentas. Aquí es donde el LEI se vuelve particularmente valioso, porque es un formato de datos estructurado y legible por máquinas.
GLEIF proporciona una API pública que permite integrar los datos del LEI directamente en el software empresarial. Una plataforma de cuentas por pagar o un sistema de gestión de proveedores puede consultar automáticamente la base de datos de GLEIF para cada nueva contraparte, comparar los resultados con los registros existentes y marcar cualquier discrepancia para revisión humana. La verificación de identidad ocurre en segundo plano, sin que nadie necesite buscar manualmente.
El LEI en el marco regulatorio
El código LEI no es solo una herramienta voluntaria. Los reguladores de todo el mundo han comenzado a vincularlo directamente con la seguridad de pagos y la prevención del fraude.
El Reglamento de Pagos Instantáneos de la UE ha requerido que todos los proveedores de servicios de pago de la eurozona verifiquen el nombre del beneficiario antes de procesar transferencias instantáneas desde octubre de 2025. El reglamento reconoce el LEI como una herramienta para automatizar la coincidencia de un IBAN con el nombre del titular de la cuenta. Esto reduce directamente el riesgo de fraude de pagos autorizados, donde los fondos se envían a una cuenta controlada por un estafador. Para más detalles sobre esto, consulte nuestro artículo sobre LEI y verificación del beneficiario.
El Grupo de Acción Financiera Internacional (GAFI) actualizó su estándar internacional de transparencia de pagos, Recomendación 16, en junio de 2025. Según el estándar revisado, los pagos transfronterizos superiores a 1.000 euros o dólares deben incluir información verificada tanto del originador como del beneficiario. Cuando la parte es una entidad legal, el LEI es uno de los identificadores aceptados. El estándar entra en pleno vigor en 2030.
Qué puede hacer su empresa hoy
Obtenga un código LEI para su empresa. Con un LEI, puede compartir un identificador verificado con socios, incluirlo en facturas y contratos, y utilizarlo como prueba de que su empresa es quien dice ser. Esto es más importante en transacciones transfronterizas, donde su contraparte puede no tener ninguna familiaridad con su registro empresarial local. El registro toma unos minutos y el LEI se emite casi de inmediato: registre su código LEI.
Exija un LEI a sus proveedores. Agregue un campo a su proceso de incorporación de proveedores. La verificación es gratuita y toma segundos. Si los datos coinciden, tiene confirmación. Si no coinciden, tiene motivos para hacer preguntas antes de realizar un pago.
Aplique una regla de cambio de datos bancarios. Cualquier solicitud para cambiar los datos de pago debe requerir dos confirmaciones: una verificación de LEI y una llamada telefónica a un número de contacto que ya tenga en sus registros. Esta única regla habría prevenido la mayoría de los casos clásicos de fraude de facturas.
Incluya su LEI en sus facturas. Esto ayuda a sus socios a verificar su identidad y señala que su empresa toma la transparencia en serio.
Resumen
La mayoría del fraude de pagos tiene éxito porque la identidad de la contraparte es difícil de verificar de manera rápida y confiable. El código LEI aborda un punto débil específico y muy común: un identificador único a nivel mundial y verificable públicamente hace que el fraude sea significativamente más difícil de llevar a cabo. Las empresas más pequeñas pueden realizar la verificación manualmente en segundos. Las organizaciones más grandes pueden automatizar el proceso por completo.
Si su empresa aún no tiene un código LEI, obtener uno es el paso más simple que puede tomar hoy para mejorar la seguridad de sus pagos: registre su código LEI.
Si su código LEI necesita renovación, puede hacerlo aquí: renueve su código LEI.