El fraude en las reclamaciones empieza en la bandeja de entrada: cómo los correos electrónicos falsos convierten los procesos habituales de las aseguradoras en un robo de indemnizaciones

El fraude en las reclamaciones no siempre empieza con un accidente simulado o un informe de lesiones falso.

A veces todo empieza con un correo electrónico cualquiera. Un perito solicita un documento más. El asegurado responde con una dirección actualizada. Una empresa de restauración envía una factura revisada. Nada de lo que ocurre en esa secuencia parece fuera de lo normal, y precisamente por eso funciona.

Los equipos de seguros están diseñados para mantener el flujo de expedientes. Tras una tormenta, un aumento repentino de las reclamaciones por responsabilidad civil o un atasco en las indemnizaciones por accidentes laborales, el personal gestiona con rapidez presupuestos, documentos adjuntos, aprobaciones y detalles de los pagos. Cuando llega un mensaje dentro de una reclamación real, este hereda la credibilidad del flujo de trabajo que lo rodea.

Esto convierte la bandeja de entrada en un lugar muy útil para los ladrones. No necesitan inventarse una historia desde cero si pueden colarse en una conversación ya existente y desviar dinero, documentos o la confianza de los demás.

Por qué es fácil manipular los trámites de las reclamaciones de seguros

La gestión de siniestros presenta tres aspectos que atraen a los atacantes: la urgencia, la repetición y una gran cantidad de coordinación por correo electrónico. Un solo expediente puede implicar al asegurado, a un corredor, a un perito, a un responsable financiero, a un proveedor de reparaciones y a un asesor jurídico externo. Durante un evento de catástrofe, un único buzón compartido puede procesar docenas de solicitudes casi idénticas antes del mediodía.

Por eso la relación entre la ciberdelincuencia y el fraude a las aseguradoras surge de forma tan natural en las operaciones de las aseguradoras. Una vez que los delincuentes consiguen acceder a un buzón de correo, una factura o un hilo de comunicación con un proveedor, no necesitan una historia de filtración espectacular. Pueden esperar al momento real del pago e intervenir allí donde la gente ya espera que haya movimiento.

Las empresas que entienden qué es DMARC ya saben que va más allá de la capacidad de entrega. DMARC funciona junto con SPF y DKIM para ayudar a los propietarios de dominios a verificar quién está autorizado a enviar correo utilizando su dominio y a decidir qué deben hacer los servidores receptores con los mensajes que no superan esas comprobaciones. Esto es importante en el ámbito de las reclamaciones, ya que la suplantación de identidad suele ser más rentable que las interrupciones por fuerza bruta.

Cómo se produce realmente el robo de pagos

Imaginemos una reclamación por daños en una propiedad tras una granizada. Un contratista termina los trabajos de reparación de emergencia, el perito aprueba el presupuesto y el departamento financiero está a la espera de autorizar un pago de 28 400 dólares. Un atacante con acceso a un único punto de la cadena observa en silencio durante unos días y, a continuación, envía una breve nota indicando que el contratista ha cambiado de banco y adjunta un formulario de transferencia actualizado.

El correo electrónico no tiene por qué ser llamativo. Solo tiene que llegar en el momento en que el equipo ya está esperando la factura final o la confirmación de la transferencia ACH. Según el anuncio de servicio público del IC3 del FBI sobre el fraude por suplantación de identidad en el correo electrónico empresarial (BEC), las pérdidas declaradas relacionadas con el BEC superaron los 55 000 millones de dólares a nivel mundial entre octubre de 2013 y diciembre de 2023. Esa cifra explica por qué un «simple» correo electrónico sobre un cambio en el pago nunca debe tratarse como una tarea administrativa rutinaria.

La mecánica es aburrida a propósito:

• Una reclamación real genera un hilo de correo electrónico real con nombres, números de reclamación y archivos adjuntos.
• Un atacante consigue acceder mediante phishing, credenciales reutilizadas o reglas de reenvío de correo electrónico.
• Esperan hasta que el momento del pago, el reembolso o la liquidación haga que la solicitud resulte creíble.
• Se envía una factura revisada, un cambio bancario o una orden de pago desde una cuenta falsa o comprometida.
• Los fondos se transfieren antes de que nadie verifique el cambio a través de un segundo canal.

El mismo patrón se aplica a los seguros de accidentes laborales, de responsabilidad civil, de automóviles comerciales y de subrogación. Si un mensaje puede determinar a quién se le paga, dónde van a parar los documentos confidenciales o qué registros se consideran auténticos, la reclamación ya tiene suficiente valor como para atraer abusos.

Lo que se pasa por alto cuando el remitente resulta familiar

La mayoría de los equipos saben cómo detectar un correo electrónico de phishing mal elaborado. Los casos más difíciles son aquellos mensajes que parecen correctos en un 95 %. Un remitente suplantado puede cambiar una letra en un dominio, responder dentro de un hilo de conversación ya existente o utilizar el mismo tono que suele emplear un proveedor.

Por eso, el mejor hábito a la hora de revisar no es «buscar errores gramaticales», sino «comprobar si la solicitud se ajusta al flujo de trabajo». Un proveedor de servicios de reparación que haya utilizado el mismo dominio durante 18 meses no debería enviar de repente un cambio de datos bancarios desde una nueva dirección, una hora antes del pago. El abogado de un demandante que suele enviar archivos PDF a través de un portal seguro no debería solicitar de repente instrucciones para el pago mediante una respuesta de una sola línea enviada desde un teléfono móvil.

Muchas de las señales de alerta habituales del phishing en los expedientes de seguros son sutiles: un cambio en la dirección de respuesta, un tipo de archivo adjunto diferente, una indicación de urgencia de última hora o una petición de saltarse el portal habitual porque «este es más rápido». Se trata de pequeños detalles, pero en el proceso de tramitación de siniestros suelen marcar la diferencia entre una tramitación normal y un desvío fraudulento.

Las directrices del FBI sobre el fraude por suplantación de identidad en el correo electrónico empresarial dejan muy clara la norma práctica: verificar los cambios en los pagos o en las cuentas a través de un canal independiente, comprobar la dirección completa del remitente y actuar con especial cautela cuando la solicitud insista en la urgencia. Los buenos equipos de gestión de reclamaciones siguen esa norma incluso cuando el mensaje parece familiar, ya que el objetivo del ataque es precisamente que el fraude parezca familiar.

Cómo se aplica en la práctica un proceso de tramitación de siniestros más seguro

Un flujo de trabajo de reclamaciones más eficaz no trata cada correo electrónico como si fuera una emergencia grave. Solo introduce controles allí donde el fraude puede resultar costoso: cambios en las cuentas, instrucciones de liquidación, facturas revisadas y reenvío de documentos confidenciales.

Empecemos por el lado del dominio. Un rápido análisis con una herramienta de análisis de dominios puede revelar si tu dominio de envío presenta deficiencias evidentes de autenticación en relación con DMARC, SPF, DKIM y controles relacionados, y PowerDMARC enfoca específicamente la herramienta en la identificación de riesgos de phishing, suplantación de identidad, fraude y usurpación de identidad. Esto resulta útil porque el fraude en las reclamaciones suele tener éxito mucho antes de que nadie detecte un problema en el pago en el libro mayor.

A continuación, endurezca las normas de traspaso dentro del proceso de tramitación de reclamaciones. Si se produce un cambio bancario después de la aprobación del pago pero antes del desembolso, debería activarse una vía de control diferente a la de una actualización rutinaria del estado. Un expediente con una solicitud de reembolso de 1.200 dólares podría requerir una llamada de respuesta rápida. Un expediente con una revisión de liquidación de 40.000 dólares podría requerir una llamada de respuesta y la intervención de un segundo responsable de la aprobación en el mismo día hábil.

Un conjunto de controles funcional suele tener este aspecto:

• Cualquier transferencia o cambio en la cuenta ACH se verifica mediante el número de teléfono que figura en nuestros registros, no el que aparece en el correo electrónico.
• Cualquier cambio en las instrucciones de pago que se produzca en los 30 días siguientes a la incorporación del proveedor se remitirá a un nivel superior.
• Las bandejas de entrada compartidas de reclamaciones no permiten el reenvío automático silencioso a direcciones externas.
• Los departamentos de finanzas y de reclamaciones utilizan la misma lista de verificación, por lo que los atacantes no pueden centrarse en el equipo más vulnerable.
• Cada modificación bancaria verificada se registra indicando la fecha, el verificador y el resultado de la llamada de retorno.

La autenticación del correo electrónico también es importante en este caso. Según las directrices de Google para remitentes, se espera que los remitentes masivos a cuentas personales de Gmail utilicen SPF y DKIM, publiquen DMARC y hagan coincidir el dominio de la organización que figura en el encabezado «De» con el de SPF o DKIM. Esos requisitos se refieren a la confianza en el remitente a gran escala, pero esa misma disciplina ayuda a las compañías de seguros a reducir el riesgo de suplantación de identidad y a depurar las señales en las que se basan los empleados para determinar si un mensaje es legítimo.

Los equipos de seguros más sólidos también ponen a prueba sus procesos con casos reales. Seleccione una reclamación reciente por daños materiales, un expediente de indemnización laboral y una reclamación por responsabilidad civil. Plantee una pregunta directa sobre cada uno de ellos: si en este preciso momento llegara un correo electrónico falso con un cambio en el pago, ¿dónde exactamente se detendría y quién lo haría? Si la respuesta es imprecisa, el control también lo es.

Conclusión

El fraude en las reclamaciones sale caro cuando las lagunas habituales en los procesos se tratan como simples molestias administrativas inofensivas. Un mensaje falsificado puede desviar el pago a un contratista, retrasar una liquidación o hacer que datos confidenciales de los reclamantes caigan en manos equivocadas sin que se active ninguna alarma evidente. La solución suele ser menos drástica de lo que la gente espera: una mayor rigurosidad en la verificación de la identidad del remitente, reglas de verificación más claras y una breve lista de situaciones que nunca deben considerarse «rutinarias». Si los cambios bancarios, las revisiones de facturas y las instrucciones de pago siempre desencadenan una llamada de confirmación y una segunda revisión, el atacante pierde la ventaja del momento oportuno. Elija hoy mismo un flujo de trabajo de reclamaciones real y compruebe cómo un correo electrónico falso sobre un cambio en el pago pasaría de la bandeja de entrada al desembolso. A continuación, cierre la brecha antes de que llegue el próximo mensaje de aspecto corriente.

• Acerca de
• Últimas publicaciones

Ahona Rudra

Experto en seguridad de dominios y correo electrónico de PowerDMARC

Ahona es la Directora de Marketing de PowerDMARC, con más de 5 años de experiencia escribiendo sobre temas de ciberseguridad, especializada en seguridad de dominios y correo electrónico. Ahona tiene un posgrado en Periodismo y Comunicaciones, consolidando su carrera en el sector de la seguridad desde 2019.

Últimas publicaciones de Ahona Rudra (ver todas)

• Reputación de IP frente a reputación de dominio: ¿cuál te lleva a la bandeja de entrada? - 1 de abril de 2026
• El fraude en las reclamaciones empieza en la bandeja de entrada: cómo los correos electrónicos falsos convierten los procesos habituales de las aseguradoras en un robo de indemnizaciones - 25 de marzo de 2026
• Norma de medidas de seguridad de la FTC: ¿Necesita su entidad financiera DMARC? - 23 de marzo de 2026