CLABE falsa generada por IA: cómo detectarla antes de pagar
Cómo cuentas por pagar detecta CLABEs falsas generadas por IA en fraudes de cambio de cuenta y BEC antes de pagar, con el marco UIF, Banxico y LFPIORPI.

Resumir este artículo con
Este artículo tiene fines informativos y no constituye asesoramiento legal ni normativo.
Un documento bancario falso generado por IA es hoy la pieza central de la mayoría de fraudes de cambio de datos bancarios en empresas mexicanas: el atacante suplanta el correo de un proveedor o directivo y adjunta una carátula bancaria o una carta con membrete que parece auténtico. El objetivo es que cuentas por pagar actualice la CLABE registrada y redirija el siguiente pago SPEI a una cuenta del defraudador.
Qué es el fraude de cambio de datos bancarios y cómo se conecta con el fraude del CEO
El fraude de cambio de datos bancarios consiste en solicitar la modificación de la CLABE de un proveedor mediante un documento o correo fraudulento, normalmente combinado con la suplantación conocida como Business Email Compromise (BEC) o fraude del CEO. La UIF (Unidad de Inteligencia Financiera) combate activamente el BEC contra empresas mexicanas y se coordina con la Fiscalía General de la República cuando los recursos terminan en empresas fantasma (UIF — nota informativa sobre fraudes BEC). Las pérdidas por fraude financiero digital en México superaron los 11,000 millones de pesos en 2025 según datos de Banxico, y el 54% de las empresas reportó un incremento de este fraude (Cronista — pérdidas por fraude digital en México).
El mecanismo combina ingeniería social y falsificación documental: el atacante accede al correo de un proveedor o lo intercepta con un ataque de intermediario ("man in the middle") y envía la nueva CLABE junto a un documento que respalde la solicitud. La vulnerabilidad que explota este fraude en México es conocida: el nombre del beneficiario en una orden SPEI no funciona como identificador de validación, así que el pago se aplica según la CLABE, coincida o no con el nombre indicado. CONDUSEF documentó en 2025 esta modalidad, con 15 casos detectados en una semana usando el nombre de empresas reconocidas (CONDUSEF — alerta sobre fraude vía SPEI).
Cómo la IA genera el documento bancario falso que respalda la estafa
La IA generativa produce carátulas de cuenta, capturas de banca en línea y cartas con membrete corporativo que superan la revisión visual en segundos. Los modelos de difusión reproducen logotipos y tipografías propietarias, mientras los modelos de lenguaje generan el texto — titular, CLABE, RFC, sello, fecha — con coherencia total. La alternativa más simple, e igual de eficaz, es editar un documento real: tomar una carátula obtenida por phishing y sustituir solo el campo de la CLABE.
Ambas vías dejan huellas que un control visual no detecta, pero sí un análisis forense de metadatos, como se describe en nuestro análisis sobre extractos bancarios falsificados con IA. El documento puede ser visualmente impecable y aun así mostrar un software de creación incoherente con el banco declarado o una fecha de modificación posterior a la del documento — indicadores verificables de forma automatizada.
Señales de alerta que debe conocer el equipo de cuentas por pagar
Una solicitud de cambio de CLABE presenta habitualmente varias señales combinadas que elevan el riesgo de la operación.
¿Cómo saber si un cambio de datos bancarios es fraudulento?
Ningún indicador aislado confirma el fraude, pero la combinación de varios sí. El cambio llega por correo sin llamada previa, coincide con una factura de importe elevado y va acompañado de presión temporal ("actualícelo antes de esta transferencia"). El documento suele carecer de sello digital verificable, y el remitente responde desde una dirección casi idéntica a la habitual pero con una letra alterada.
¿Qué diferencia hay entre el fraude BEC y el fraude "man in the middle"?
El fraude BEC suplanta la identidad de un directivo o proveedor con un correo falso o un dominio parecido; el "man in the middle" compromete la cuenta real del proveedor y modifica los mensajes en tránsito sin que nadie note la intrusión, lo que dificulta detectarlo solo con controles de remitente.
| Señal de alerta | Riesgo | Cómo verificarlo |
|---|---|---|
| Cambio de CLABE recibido solo por correo | Alto | Llamada al número ya registrado |
| Urgencia o amenaza de suspensión de servicio | Alto | Procedimiento estándar sin excepciones |
| Documento sin sello digital verificable | Alto | Verificación criptográfica y análisis de metadatos |
| Dominio de correo con una letra alterada | Alto | Comparación con el dominio histórico |
| Titular de la carátula distinto al proveedor registrado | Alto | Cotejo con la ficha de proveedor y el RFC declarado |
| Proveedor nuevo con historial de pago corto | Medio | Doble aprobación y observación reforzada |
| Formato ligeramente distinto al habitual del banco | Medio | Análisis forense de imagen y tipométrico |
La combinación de tres o más de estas señales debe bloquear automáticamente el pago, sin importar la urgencia alegada. El sistema no valida que el nombre del beneficiario coincida con la CLABE receptora, así que ese cotejo depende del control interno de la empresa.
¿Listo para automatizar sus verificaciones?
Piloto gratuito con sus propios documentos. Resultados en 48h.
Solicitar un piloto gratuitoLo que preguntan los equipos financieros en foros y comunidades especializadas
Las comunidades de administración y contabilidad comparten dudas recurrentes que rara vez aparecen en las guías oficiales: si la empresa debe pagar de nuevo cuando el primer pago se hizo de buena fe a una cuenta fraudulenta, y qué plazo real existe para pedir la aclaración de una transferencia SPEI.
La respuesta a la primera pregunta rara vez es la esperada: el pago de buena fe a una cuenta fraudulenta generalmente no se considera liberatorio, porque el importe no llegó al acreedor real, lo que obliga a pagar de nuevo la factura y a reclamar por vía civil o penal la cantidad desviada. Las transferencias SPEI no pueden cancelarse de forma automática una vez autorizadas; la aclaración se presenta dentro de los 90 días naturales siguientes y el banco tiene hasta 45 días naturales para su dictamen (Banxico — normativa aplicable al SPEI). Este riesgo justifica invertir en verificación previa antes que en recuperación posterior.
Protocolo de verificación antes de aceptar un cambio de datos bancarios
Un protocolo en cuatro pasos reduce la exposición a este fraude sin añadir fricción al ciclo de pagos. En 2025 se registraron 108,724 denuncias por fraude en México, la mayoría cibernéticas.
Paso 1 — Aislar la solicitud del flujo normal de aprobación. Ninguna modificación de CLABE debe procesarse en el circuito de facturas rutinarias; requiere un responsable distinto de quien la recibió.
Paso 2 — Verificar por un canal independiente ya conocido. Llamar al proveedor a un número guardado con anterioridad, nunca al del correo recibido. Esta comprobación por sí sola neutraliza la mayoría de los intentos.
Paso 3 — Someter el documento adjunto a análisis forense. Revisar metadatos, coherencia de formato con documentos previos del proveedor y validez del sello digital. Una plataforma de verificación documental como CheckFile automatiza este cruce y señala discrepancias en segundos.
Paso 4 — Exigir doble aprobación y constancia auditable. El cambio validado debe registrarse con fecha, responsable, canal de verificación y resultado, conforme a la trazabilidad exigida en cumplimiento normativo del sector financiero.
Este protocolo también es aplicable a la verificación de facturas de proveedores y a la verificación de cuenta bancaria y CLABE interbancaria: ambos esquemas comparten el mismo punto ciego.
Marco regulatorio mexicano aplicable
La LFPIORPI (Ley Federal para la Prevención e Identificación de Operaciones con Recursos de Procedencia Ilícita) obliga a las entidades financieras y a otros sujetos que realizan actividades vulnerables a identificar a sus clientes y a presentar avisos cuando las operaciones superan los umbrales fijados en UMA; las empresas no reguladas quedan protegidas principalmente por la vía civil y penal ordinaria de su entidad federativa. El valor diario de la UMA para 2026 es de $117.31 MXN, y una reforma reciente al Reglamento de la LFPIORPI (DOF, marzo de 2026) exige el aviso inmediato al alcanzar el umbral aplicable (Diario Oficial de la Federación). La CNBV supervisa que las instituciones de crédito apliquen controles reforzados frente a cambios de datos bancarios, y Banxico regula el SPEI, el sistema sobre el que corren prácticamente todas las transferencias interbancarias en pesos (Banxico — SPEI).
A diferencia de países con un único código penal, México combina el Código Penal Federal con los códigos penales y civiles de cada entidad federativa; el fraude entre empresas suele perseguirse por la vía estatal, así que el procedimiento y el fiscal competente pueden variar según el estado.
¿Es responsable la empresa si paga de buena fe a una cuenta fraudulenta?
La práctica civil mexicana tiende a considerar que el pago a una cuenta distinta de la del acreedor real no extingue la deuda original, salvo negligencia del propio acreedor. Esto traslada el riesgo económico a la empresa pagadora en la mayoría de los casos, con independencia de su buena fe.
Automatización: cómo la verificación documental complementa el control humano
El control manual sigue siendo insustituible para el juicio contextual, pero su capacidad de detección es limitada frente al volumen actual de fraude. Según el ACFE 2024 Report to the Nations, el control manual detecta de media el 37% de los fraudes, con un retraso medio de descubrimiento de 87 días (ACFE — Report to the Nations 2024), margen suficiente para que los fondos desviados salgan del país. La detección se apoya en un análisis multi-capa — estructural, de metadatos y de coherencia entre documentos del expediente de pago — y no en un único control visual.
Las plataformas especializadas cruzan la CLABE recibida contra el histórico del proveedor, validan la coherencia del RFC con la entidad declarada y aplican modelos forenses que identifican artefactos de generadores de imagen y editores de PDF, sin sustituir la verificación telefónica independiente, que sigue siendo el control más eficaz frente a la ingeniería social. Consulte nuestra página de tarifas para dimensionar el costo frente al riesgo, o la guía de verificación sectorial para un marco más amplio.
CheckFile analiza sus expedientes de pago y señala indicios de generación por IA como complemento a sus controles existentes. Descubra nuestro análisis de documentos generados por IA y deepfakes, aplicado a carátulas bancarias y cambios de CLABE.
Preguntas frecuentes
¿Qué debo hacer si ya pagué a una cuenta fraudulenta tras un cambio de CLABE falso?
Contacte de inmediato a su banco para solicitar la aclaración de la transferencia SPEI; las posibilidades reales de éxito existen solo en las primeras horas. Presente denuncia ante la Fiscalía General de la República o la fiscalía estatal correspondiente y conserve la correspondencia como prueba. Notifique también al proveedor real: su correo probablemente esté comprometido.
¿Una CLABE con dígitos de control válidos garantiza que la cuenta es legítima?
No. El algoritmo de control de 18 dígitos de la CLABE solo verifica la coherencia matemática del número, no la identidad del titular. El SPEI tampoco valida que el nombre del beneficiario coincida con el titular real, por lo que una CLABE válida puede pertenecer a una cuenta de un defraudador, como se detalla en nuestra guía de verificación de cuenta bancaria y CLABE interbancaria.
¿Puede un empleado distinguir a simple vista una carátula bancaria generada por IA?
Rara vez. Los modelos generativos actuales reproducen logotipos, tipografías y sellos con una fidelidad muy alta, por lo que el control visual humano detecta solo una minoría de estos documentos. La detección fiable requiere análisis de metadatos y cotejo con documentos previos del proveedor.
¿A partir de qué monto debe una empresa reportar una operación sospechosa conforme a la LFPIORPI?
Depende de la actividad vulnerable: los umbrales se fijan en UMA y varían por sector (inmobiliario, vehículos, joyas, servicios profesionales). Con la UMA en $117.31 MXN diarios en 2026, la empresa que detecte un cambio de datos bancarios sospechoso ligado a una operación que supere su umbral debe presentar el aviso al SAT, o el aviso de 24 horas si hay indicios claros de recursos de procedencia ilícita.
¿Deben las pymes aplicar el mismo protocolo que las grandes empresas?
Sí, con recursos proporcionales. Verificar cualquier cambio de CLABE por un canal independiente no requiere inversión y es aplicable con un procedimiento escrito simple. La automatización aporta valor a medida que crece el volumen de facturas gestionadas.
Manténgase informado
Reciba nuestros análisis de cumplimiento y guías prácticas en su correo.