La facturacion electronica obligatoria esta a punto de convertirse en realidad para todas las empresas espanolas. La Ley Crea y Crece y el reglamento Verifactu (vigente desde julio de 2025) establecen que todas las empresas y autonomos deben emitir facturas electronicas verificables y con garantia de integridad. Al mismo tiempo, los sistemas de punto de venta (TPV) gestionan miles de transacciones con tarjeta que contienen datos financieros sensibles.
Estos dos sistemas son objetivos prioritarios para los ciberdelincuentes: contienen datos financieros, permiten el fraude directo y a menudo estan menos protegidos que otras partes de la infraestructura. Este articulo te explica como protegerlos adecuadamente.
El nuevo marco normativo de facturacion electronica
Ley Crea y Crece
La Ley 18/2022, de creacion y crecimiento de empresas, establece la obligatoriedad de la facturacion electronica entre empresas (B2B) en Espana. El calendario de implantacion es:
- Empresas con facturacion > 8M EUR: Obligatorio desde julio de 2025.
- Resto de empresas y autonomos: Obligatorio desde julio de 2026.
Reglamento Verifactu
El sistema Verifactu (Real Decreto 1007/2023) establece los requisitos tecnicos que deben cumplir los sistemas informaticos de facturacion:
- Registro inalterable: Cada factura debe generar un registro que no se puede modificar ni borrar.
- Encadenamiento de registros: Cada registro esta vinculado al anterior mediante un hash criptografico (similar a una blockchain).
- Firma electronica: Los registros deben estar firmados digitalmente.
- Envio a la AEAT: Los datos de facturacion se envian a la Agencia Tributaria de forma automatica o bajo demanda.
- Codigo QR: Cada factura debe incluir un codigo QR para su verificacion.
Implicaciones de seguridad de Verifactu
El sistema Verifactu tiene implicaciones directas en ciberseguridad:
Integridad de los datos: El sistema de encadenamiento garantiza que no se pueden manipular facturas antiguas sin que se detecte. Esto protege contra el fraude interno.
Certificados digitales: Necesitaras un certificado digital vigente para firmar las facturas. Proteger la clave privada de este certificado es critico.
Conexion con la AEAT: Tu sistema de facturacion se conectara con los servidores de la Agencia Tributaria. Esta conexion debe ser segura (HTTPS/TLS).
Software homologado: Solo podras usar software de facturacion que cumpla los requisitos Verifactu. Esto reduce el riesgo de usar software inseguro.
Amenazas a los sistemas de facturacion
1. Fraude en facturas (BEC aplicado a facturacion)
El atacante intercepta o suplanta correos entre la empresa y sus clientes/proveedores para modificar los numeros de cuenta bancaria en las facturas.
Escenario: Recibes una factura aparentemente de tu proveedor habitual. Todo parece correcto excepto que el numero de cuenta bancaria ha cambiado. Si pagas sin verificar, el dinero va a la cuenta del atacante.
Prevencion:
- Verifica siempre por telefono cualquier cambio de cuenta bancaria.
- No confies unicamente en el correo electronico para comunicaciones financieras.
- Implementa un procedimiento de doble verificacion para pagos.
2. Ransomware contra el sistema de facturacion
Un ataque de ransomware que cifra el sistema de facturacion puede paralizar completamente las operaciones de la empresa: no puedes facturar, no puedes cobrar, no puedes emitir nuevos presupuestos.
Prevencion:
- Copias de seguridad independientes del sistema de facturacion.
- Plan de contingencia: saber como facturar manualmente si el sistema cae.
- Asegurar que el proveedor de software tiene planes de recuperacion.
3. Robo de certificados digitales
El certificado digital que usas para firmar facturas electronicas es un activo de gran valor. Si un atacante obtiene tu clave privada, puede firmar facturas fraudulentas en tu nombre.
Prevencion:
- Almacena el certificado digital en un dispositivo seguro (token USB criptografico o HSM).
- No compartas el certificado entre varios ordenadores.
- Renueva el certificado antes de su caducidad.
- Revoca inmediatamente un certificado si sospechas que ha sido comprometido.
4. Vulnerabilidades en el software de facturacion
Cualquier software tiene vulnerabilidades. Un sistema de facturacion desactualizado puede ser explotado para acceder a los datos financieros o manipular facturas.
Prevencion:
- Manten el software de facturacion siempre actualizado.
- Si es software en la nube (SaaS), verifica que el proveedor tiene medidas de seguridad adecuadas.
- Si es software local, asegura que esta en un equipo protegido y actualizado.
Seguridad en TPV (Terminales Punto de Venta)
Que es PCI DSS y por que te afecta
Si tu empresa acepta pagos con tarjeta (fisica u online), debes cumplir con el Payment Card Industry Data Security Standard (PCI DSS). El incumplimiento puede suponer:
- Multas de las marcas de tarjeta (Visa, Mastercard).
- Responsabilidad por fraude si los datos de los clientes se ven comprometidos.
- Perdida del derecho a aceptar pagos con tarjeta.
Niveles de cumplimiento PCI DSS para PYMEs
| Nivel | Volumen de transacciones/ano | Requisitos |
|---|---|---|
| Nivel 4 (mayoria de PYMEs) | Menos de 20.000 (e-commerce) o 1M (presencial) | Cuestionario de autoevaluacion (SAQ) |
| Nivel 3 | 20.000 - 1M (e-commerce) | SAQ + escaneo trimestral |
| Nivel 2 | 1-6M | SAQ + escaneo trimestral |
| Nivel 1 | Mas de 6M | Auditoria externa anual |
La mayoria de PYMEs se encuentran en el Nivel 4 y solo deben completar un SAQ y mantener buenas practicas basicas.
Amenazas especificas a los TPV
Skimming: Dispositivos fisicos que se colocan sobre el lector de tarjetas para capturar los datos. Habitual en cajeros automaticos pero tambien en TPV de comercio.
Malware de TPV (RAM scraping): Software malicioso que extrae los datos de la tarjeta de la memoria del terminal durante la transaccion. Fue la causa de las grandes brechas de Target y Home Depot.
Ataques a la red del TPV: Si el TPV esta conectado a la misma red que los ordenadores de la empresa, un atacante que comprometa un ordenador puede llegar al TPV.
Intercepcion de comunicaciones: Si la conexion entre el TPV y el procesador de pagos no esta cifrada, los datos se pueden interceptar.
Medidas de seguridad para el TPV
Red separada: Conecta el TPV a una red (VLAN) diferente de la de los ordenadores de trabajo. El TPV solo debe comunicarse con el procesador de pagos, no con Internet general.
Actualizaciones del firmware: Manten el firmware del TPV actualizado. Tu proveedor de servicios de pago (acquirer) deberia gestionarlo.
Inspeccion fisica regular: Revisa semanalmente el TPV para detectar dispositivos de skimming (piezas sueltas, elementos anadidos, cables extranos).
No almacenes datos de tarjeta: Nunca guardes numeros de tarjeta completos, CVV ni datos de la banda magnetica. Si necesitas cobros recurrentes, utiliza tokenizacion a traves de tu proveedor de pagos.
Recibos: No imprimas el numero completo de la tarjeta en los recibos. Solo las ultimas 4 cifras.
Acceso restringido: Solo personal autorizado debe poder acceder fisicamente al TPV y a su panel de configuracion.
Checklist de seguridad para facturacion y pagos
Facturacion electronica
- Software de facturacion homologado Verifactu
- Certificado digital protegido (token USB o acceso restringido)
- Copias de seguridad independientes de los datos de facturacion
- Protocolo de verificacion para cambios de cuenta bancaria
- Doble autorizacion para pagos superiores a un umbral
- Software actualizado a la ultima version
- Conexion segura (HTTPS) con la AEAT
TPV y pagos con tarjeta
- TPV en red separada (VLAN) de los ordenadores
- Firmware del TPV actualizado
- Inspeccion fisica semanal del terminal
- No se almacenan datos completos de tarjeta
- Recibos con solo las 4 ultimas cifras
- Acceso fisico restringido al terminal
- Cuestionario SAQ PCI DSS completado anualmente
Proveedores de facturacion electronica seguros
Al elegir un software de facturacion electronica, valora estos criterios de seguridad:
| Criterio | Que buscar |
|---|---|
| Cumplimiento Verifactu | Certificacion o declaracion de cumplimiento |
| Cifrado de datos | Cifrado en reposo (AES-256) y en transito (TLS 1.2+) |
| Copias de seguridad | Backups automaticos diarios con retencion minima de 30 dias |
| Autenticacion | MFA disponible para los usuarios |
| Auditoria de accesos | Registro de quien accede a que y cuando |
| Centro de datos | Ubicado en la UE (cumplimiento RGPD) |
| SLA de disponibilidad | Minimo 99,5% |
| Soporte | Soporte en espanol con tiempo de respuesta definido |
Conclusion
La facturacion electronica obligatoria y los pagos digitales son una realidad irreversible. Proteger estos sistemas no es opcional: un incidente en el sistema de facturacion puede paralizar la empresa y un incidente en el TPV puede exponer los datos financieros de tus clientes.
Las medidas basicas (software actualizado, certificados protegidos, red segmentada, verificacion de pagos) son suficientes para la mayoria de PYMEs. Implementalas hoy para estar preparado cuando la obligatoriedad de la facturacion electronica llegue a tu empresa.
Este articulo es de caracter educativo y no constituye un servicio profesional de ciberseguridad ni asesoramiento fiscal. Consulte a un especialista certificado para soluciones especificas a su empresa.
