La presión por convertir reservas y cerrar arras empuja a acelerar. Pero acelerar sin control convierte cada hito en un punto de ataque. La clave está en diseñar un “customer journey” de cobro con controles incorporados: mínimos verificables en reserva, diligencia estándar en arras y diligencia por riesgo en preventa. No es burocracia: es continuidad de negocio. Un programa bien diseñado reduce el coste de incidentes, mejora la defendibilidad ante banco y auditoría, y evita que el equipo comercial se vea obligado a improvisar cuando aparece la urgencia.

2) La mecánica del fraude de IBAN: por qué funciona y dónde se rompe
El fraude por cambio de IBAN se apoya en algo simple: el atacante necesita que el comprador crea que la cuenta del beneficiario ha cambiado. Lo logra con correos que imitan dominios, mensajes reenviados “por el responsable” o presiones del tipo “hoy vence el plazo”. En preventa, el momento es perfecto: importes elevados, tensión contractual y un comprador que quiere cumplir. El ataque no requiere vulnerar el banco; requiere romper el canal de comunicación y la disciplina operativa interna. Por eso, la defensa más eficaz no es tecnológica únicamente: es de proceso.

La rotura del ataque se produce cuando existe un canal único y verificable para instrucciones de pago, y cuando el cambio de datos (IBAN, correo, teléfono de contacto) está sometido a control de cambios, doble aprobación y bitácora. El “call-back” es la pieza que suele marcar la diferencia: confirmar por canal alternativo y predefinido, no por el número que figura en el correo sospechoso. Si el proceso obliga a verificar antes de aceptar, el fraude pierde su ventaja: la urgencia. Y si además el promotor conserva evidencias de la verificación, la operación se vuelve defendible ante terceros.

3) KYC/AML práctico en promoción: lo mínimo que un banco quiere ver
Cuando un banco retiene un abono o pide aclaraciones, normalmente no discute la intención de comprar; discute la trazabilidad y la coherencia. ¿Quién paga? ¿Desde qué cuenta? ¿Con qué concepto? ¿Se corresponde con el contrato, la unidad y el calendario? ¿Existe un expediente con identidad, screening y, cuando procede, fuente de fondos? El promotor no debe “convertirse en banco”, pero sí debe construir un expediente único por operación con evidencias básicas: identidad verificada, titularidad de cuenta cuando proceda, consentimientos, comunicación de instrucciones de pago por canal seguro, y registro de decisiones y excepciones.

Si una operación termina en disputa o revisión, gana quien demuestra “qué se hizo” con evidencias: quién envió instrucciones, por qué canal, quién aprobó cambios, qué verificación se ejecutó, qué documentos se revisaron y cuándo. Un cobro defendible no es el que “parece correcto”, sino el que deja rastro verificable y coherente con contrato, cliente y flujo de fondos.

4) Caso práctico 1 (España/UE): el intento de fraude evita una pérdida de 12.500.000 €
Promoción residencial “Residencial Ladera Norte – Fase II”, 210 viviendas. En fase de preventa avanzada, un comprador corporativo debe abonar 12.500.000,00 € como hito de desembolso vinculado a la firma de un anexo. Dos días antes del vencimiento, el comercial recibe un correo “reenviado” supuestamente por administración indicando un “cambio temporal de cuenta por auditoría interna”. Se adjunta un PDF con el nuevo IBAN y se insiste en la urgencia. El comprador, con prisa, solicita confirmación rápida por WhatsApp.

El protocolo implantado obliga a dos condiciones: (1) cualquier cambio de cuenta solo se comunica desde el portal seguro del promotor y (2) el call-back se hace a un teléfono verificado previamente en expediente, no al número aportado en el correo. La verificación detecta que el dominio del remitente tiene una variación mínima y que el PDF carece de sello interno. Se activa contención: se bloquean comunicaciones salientes, se avisa al banco para vigilancia de posibles intentos y se conserva evidencia (cabeceras del correo, registro de llamadas, captura del portal). El comprador paga finalmente a la cuenta válida.

El impacto no es solo la pérdida evitada. El promotor evita un shock de tesorería que habría tensado certificaciones y un coste financiero adicional por puente de liquidez. En números redondos, si el promotor hubiera tenido que cubrir temporalmente 12.500.000,00 € con financiación a corto a un tipo de interés del 7,5 % durante 60 días, el coste financiero aproximado habría rondado 156.250,00 € (importe orientativo a efectos de ejemplo; sustituya por condiciones reales). El control, por tanto, paga su coste.

5) Caso práctico 2 (LATAM): pagos fraccionados, terceros y devolución como vector de riesgo
Proyecto “Parque Urbano Santa Marina”, 140 unidades en preventa. Reserva media: 10.000,00 €; arras: 30.000,00 €. Se detecta que un comprador realiza cuatro pagos de 7.500,00 € desde cuentas distintas, con conceptos incoherentes. El equipo comercial presiona para “dar por bueno” y no perder la operación. A los 15 días, el comprador solicita cancelación y pide reembolso a una quinta cuenta “de su gestor”, alegando cierre de la cuenta original. El patrón encaja con triangulación: múltiples cuentas de origen, conceptos pobres y solicitud de devolución a cuenta diferente.

El promotor aplica política clara: devoluciones solo a la misma cuenta de origen, con verificación de titularidad y expediente de devolución. Se exige evidencia mínima del motivo (cancelación conforme a contrato), trazabilidad de pagos, y se somete la excepción a doble aprobación. Se decide devolver por tramos a las cuentas de origen, bloqueando la cuenta alternativa. Además, se crea una cuenta de suspense contable para evitar imputaciones precipitadas y se refuerza la conciliación para cerrar partidas abiertas. El resultado es una devolución controlada, defendible y coherente, que reduce riesgo AML y evita un precedente peligroso: “si presionas, cambias la cuenta destino”.

6) Método operativo: cinco controles que separan el cobro robusto del cobro frágil
El primer control es el canal único de instrucciones de pago: un portal o repositorio accesible al cliente donde las cuentas oficiales y referencias están siempre actualizadas, sin depender de correos reenviados. El segundo es el registro maestro de cuentas del promotor con control de cambios: alta/modificación con doble aprobación, bitácora inalterable y segregación de funciones. El tercero es la regla de titularidad y terceros pagadores: por defecto paga el titular verificado; las excepciones requieren evidencia de relación y aprobación documentada.

El cuarto control es la conciliación con “evidencia antes de imputación”: ningún pago huérfano se asigna por intuición; se asigna por referencia obligatoria e identificador de operación, y se documenta. El quinto control es el expediente único digital: KYC, screening, consentimientos, comunicaciones y decisiones, con control de versiones y retención ajustada. Estos cinco controles no sustituyen al banco, pero hacen que el promotor se presente ante banco, financiador o auditor con un relato verificable. Y eso, en la práctica, reduce bloqueos y discusiones.

7) Barreras reales: comercial, tecnología y proveedores
La primera barrera es cultural: cuando hay objetivos comerciales, aparece la tentación de “hacer una excepción”. Por eso, el registro de excepciones con aprobación por niveles es crítico. Una excepción no documentada es una brecha. La segunda barrera es tecnológica: integraciones parciales entre CRM, ERP y repositorio documental generan huecos de evidencia. El enfoque mínimo viable es preferible a “muchas herramientas sin trazabilidad”: mejor un repositorio único y unos pocos disparadores por evento (cambio de titular, país, canal, importe o patrón) que un ecosistema desordenado.

La tercera barrera son los proveedores críticos (pasarela, eKYC, verificación de cuenta): si el SLA no cubre evidencias, auditabilidad y respuesta a incidentes, el promotor compra un servicio “bonito” pero no defendible. En contratación, los KPIs/KRIs deben incluir falsos positivos, disponibilidad, tiempo de resolución, trazabilidad de logs y derechos de auditoría. También hay que controlar cambios: si el proveedor cambia algoritmos de matching o versiona APIs sin pruebas, puede aumentar la fricción y provocar errores operativos. El control de cambios no es un lujo; es parte del control antifraude.

CONCLUSIONES OPERATIVAS (4–6 recomendaciones)
1) Estableced un canal único de instrucciones de pago y prohibid el cambio de IBAN por correo reenviado o mensajería informal.
2) Implantad control de cambios para cuentas y datos maestros: doble aprobación, segregación y bitácora verificable.
3) Definid reglas claras de quién puede pagar: titular verificado como norma; terceros solo con evidencia y aprobación documentada.
4) Tratad las devoluciones como proceso de alto riesgo: devolución a origen, verificación de titularidad y expediente de reembolso “audit-ready”.
5) Asegurad conciliación robusta: evidencia antes de imputación, identificador único de operación y gestión de pagos huérfanos en suspense.
6) Contratad proveedores con enfoque de auditabilidad: SLAs, evidencias, derechos de auditoría y control de cambios en integraciones.

AUTORÍA Y CTA  
Autoría: Juan Roldán – Economista (Especialista en financiación inmobiliaria y riesgos), experiencia en estructuración de financiación, control de tesorería y gestión KYC/AML en promociones.

Seguidnos en nuestro LinkedIn o en X, compartid este artículo y comentad vuestras experiencias y propuestas sobre prevención y gestión del fraude en cobros y preventas.