Ir al contenido
← Volver a la herramienta

Phishing y facturas falsas en XRechnung y ZUGFeRD

Las facturas falsas por correo electrónico no son un problema nuevo. Lo nuevo es que hoy las facturas se envían cada vez más como e-facturas estructuradas, por ejemplo como XRechnung o ZUGFeRD. Según el estado actual de la investigación, todavía no existe una serie oficial ampliamente documentada de casos centrados específicamente en phishing con XRechnung o ZUGFeRD. Pero eso no hace que el tema sea inofensivo: el phishing con facturas es un patrón de ataque consolidado desde hace años. Las e-facturas estructuradas ayudan en la revisión porque sus datos pueden compararse mejor con su propia documentación. Pero un formato por sí solo nunca demuestra que una factura sea auténtica.

Cómo actuar ante una e-factura sospechosa

Si no está seguro, ayuda seguir un proceso fijo. Así separa con claridad la plausibilidad, el tipo de archivo y la revisión del contenido:

  1. 1. Compruebe primero la plausibilidad. Mire el contexto completo: ¿encaja el proveedor, encaja la operación, encaja el momento? Revise con atención el correo del remitente, especialmente el dominio y no solo el nombre mostrado. Importante: incluso una dirección de remitente plausible no prueba la autenticidad, porque el remitente de un correo puede falsificarse.
  2. 2. ¿Se esperaba la factura? Si no, no abra ni descargue el adjunto. En caso de duda, la revisión ya puede terminar aquí: contacte directamente con el proveedor a través de un canal conocido e independiente, y no respondiendo al mismo correo.
  3. 3. Si el correo parece plausible: revise la extensión del archivo. Un .pdf suele ser bastante seguro para abrir. Puede descargar un .xml, pero no debería abrirlo con doble clic, porque un XML en bruto apenas es legible. En su lugar, cargue el archivo en digital-rechnung.de o en otro visor de confianza. Aquí puede ver cómo comprobar si un servicio externo trata sus datos con cuidado: Abrir facturas de forma segura con otros servicios. Tenga cuidado con archivos .exe, .bat, .zip, .rar y con extensiones dobles como Factura.pdf.exe.
  4. 4. Compare el contenido XML con sus datos conocidos. Compruebe si el IBAN ya era conocido para ese remitente, si el número de factura, la referencia del pedido y el importe coinciden con su documentación y si el destinatario de la factura es correcto. Pero un IBAN conocido por sí solo no basta. En casos límite, un atacante podría usar un IBAN real y conocido, por ejemplo el de un banco del que recibe facturas con regularidad, y manipular solo la referencia para que el pago beneficie a su cuenta. Si el IBAN coincide, pero la referencia parece desconocida o no encaja: pregunte.
  5. 5. Si persisten las dudas, vuelva a confirmar por un canal seguro. Si algo sigue sin estar claro, contacte directamente con el proveedor, de nuevo sin responder al mensaje sospechoso, sino por una vía de contacto conocida e independiente.

Hasta ahora apenas se han analizado públicamente casos ampliamente documentados que afecten específicamente a XRechnung o ZUGFeRD. Quien ya separa correctamente la revisión de este tipo de facturas está mejor preparado para un problema que probablemente será más visible a medida que se extiendan las e-facturas.

¿Cuál es el verdadero problema con las e-facturas?

El problema no es XRechnung o ZUGFeRD en sí. El problema es la combinación de correo electrónico, presión social y datos de pago manipulados. Una factura puede parecer formalmente correcta y aun así llevar a un IBAN equivocado, a una referencia de pedido que no encaja o a un contexto inventado.

El BSI señala que las supuestas facturas por correo pueden aparecer tanto como adjuntos como en forma de enlace. En sus materiales sobre mensajes fraudulentos y en el contexto de NoPhish, SECUSO recomienda revisar la plausibilidad del remitente, los adjuntos, los enlaces y el contenido completo del mensaje, y no dejarse presionar por la urgencia. Además, el BSI describe errores típicos sobre la seguridad del correo electrónico.

Campos XML: comparación, no prueba

Un error habitual es pensar que si los campos XML parecen plausibles, la factura tiene que ser auténtica. No es así. Quien falsifica el remitente de un correo y crea la factura también controla todos los campos XML. IBAN, número de factura, proveedor, referencia del comprador o referencia del pedido pueden fijarse libremente.

Por eso la utilidad del XML está en otro sitio: puede comparar datos estructurados con su propia documentación. ¿Coinciden el IBAN, el importe, el número de factura, la persona de contacto o los números de pedido conocidos con sus operaciones? Ahí es exactamente donde el XML es fuerte. Pero los campos son solo una herramienta de comparación, no una prueba de autenticidad.

En ZUGFeRD además, el PDF visible y el XML incrustado deben coincidir en contenido. Si contienen información distinta, es una señal de alerta clara. Para los poderes adjudicadores públicos, la Leitweg-ID es un campo importante de comprobación, pero igualmente solo como indicador de plausibilidad.

Cómo ayuda digital-rechnung.de

digital-rechnung.de muestra directamente en el navegador el contenido de un archivo XRechnung o ZUGFeRD. No certifica un remitente de correo, pero hace que los datos de la factura sean legibles con rapidez: por ejemplo IBAN, emisor, destinatario, número de factura, importes, fecha de vencimiento y referencias.

Esto ayuda especialmente en casos sospechosos, porque permite comparar rápidamente los datos estructurados con datos maestros conocidos, pedidos o facturas anteriores.

Si ya ha ocurrido algo

Si ya le ha ocurrido algo: estos ataques suelen estar muy bien hechos. Parecen creíbles, llegan en el momento adecuado y también afectan a personas que normalmente son muy prudentes. Cualquiera puede caer, independientemente de su experiencia o de sus conocimientos técnicos. No es un fallo personal.

Lo que importa entonces es actuar rápido y sin vergüenza. Hable directamente con su administrador de TI o con su proveedor de servicios informáticos y explique simplemente lo que ha pasado. Esas personas están precisamente para estas situaciones. Si se transfirió dinero a un IBAN incorrecto, llame de inmediato a su banco, porque la ventana de tiempo para una posible recuperación es corta. Quien calla demasiado tiempo por vergüenza suele hacer la situación más difícil y más cara.

Preguntas frecuentes

¿Ya existen casos documentados de phishing específicamente con XRechnung o ZUGFeRD?

Según el estado de la investigación a 12 de marzo de 2026, en las fuentes oficiales y cercanas a los estándares no aparece ninguna serie de casos ampliamente documentada que trate específicamente sobre phishing con XRechnung o ZUGFeRD. Se trata de una valoración basada en la investigación, no de una prueba de que esos casos no puedan existir. En cambio, el phishing general con facturas por correo electrónico sí está claramente documentado.

¿Puedo reconocer una factura falsa por el XML?

No de forma fiable. Quien le envía una factura falsa también controla todos los campos XML y puede rellenarlos con valores plausibles. Por eso el XML es sobre todo útil para compararlo con sus propios datos, no como prueba de autenticidad.

¿Es seguro abrir un archivo XML?

En comparación con archivos ejecutables, un archivo .xml suele ser menos problemático. Aun así, no debería abrirlo con doble clic, sino revisarlo en un visor de confianza. Si la factura ni siquiera se esperaba, descargarla no es el primer paso.

¿Qué campo es importante revisar en los poderes adjudicadores públicos?

La referencia del comprador, es decir, la Leitweg-ID. La información oficial de la administración federal la menciona como un campo central para asignar la factura. Si falta o no encaja, la factura no resulta plausible. Pero una Leitweg-ID correcta tampoco demuestra autenticidad.

¿Qué debo comprobar además en ZUGFeRD?

Que el PDF visible y el XML incrustado coincidan en el contenido. ZUGFeRD es un formato híbrido. Si ambas partes difieren, por ejemplo en el IBAN, en los importes o en los números de factura, la factura no debería aprobarse hasta aclarar la discrepancia.

¿Basta con mirar el IBAN en el XML?

Comparar un IBAN conocido del XML con sus datos maestros es un buen primer paso y aumenta claramente la plausibilidad. Pero no es una garantía. En casos límite, un atacante podría usar un IBAN real y conocido y manipular solo la referencia o el concepto para que el pago se asigne de forma incorrecta. Por eso conviene revisar juntos el IBAN, el importe y la referencia. Si la referencia o el concepto no encajan con la operación conocida, mejor preguntar una vez más.

¿Un PDF siempre es inofensivo?

En comparación con archivos ejecutables, un PDF suele ser bastante seguro para abrir. Pero eso solo responde a la pregunta sobre el tipo de archivo, no sobre la autenticidad de la factura. Un PDF también puede contener datos bancarios falsos o un contexto manipulado.

Revisar e-factura → digital-rechnung.de

Comprobar ahora XRechnung o ZUGFeRD →