El universo de los fraudes cibernéticos es diverso y abundante. Desafortunadamente cada vez son más sofisticadas las maneras en las que los criminales consiguen robar dinero e identidades a particulares y empresas. Un estudio del Centro Criptológico Nacional de España, situaba en un 32% el aumento de los ciberdelitos solo durante la pandemia. Junto al auge de estos delitos, crece también el sector que les hace frente: la ciberseguridad que involucra a empresas, instituciones, gobiernos y fuerzas de seguridad.
Esta estafa en concreto, a la que se conoce en inglés como Business Email Compromise (BEC), lleva acarreando perdidas millonarias en todo el mundo desde que empezaran a surgir las primeras advertencias en 2016. Consiste en suplantar la identidad de altos directos de empresa para conseguir que los empleados de aquella a la que se dirigen, realicen pagos por transferencia a una cuenta que es, en realidad, la del cibercriminal. El perfil de víctima es por tanto aquel empleado con acceso a los recursos financieros o autorizado a emitir pagos. El fraude afecta tanto a pequeños negocios como a empresas multinacionales.
Suele empezar con un simple correo electrónico en los que el supuesto directivo comunica una situación de emergencia y solicita un trato preferente para solventar la situación de forma rápida y confidencial. Para ello facilitan cuentas gestionadas por mulas financieras o por ellos mismos. La prisa y autoridad que transmiten les ayuda a ejecutar el timo más rápido y evitar que la información se contraste con otros empleados.
La trampa de algo que parece tan ingenuo estriba en las técnicas del phishing, de forma que los correos no solo mantienen una estética idéntica a la de la identidad que suplantan, sino que incluso las direcciones de correo son las de la propia empresa o muy similares.
Así, el atacante consigue que se realicen transferencias de alta cuantía sin que nada aparentemente haga sospechar que se está realizando una operación ilícita.
Uno de los casos más sonados en España ocurrió en la Empresa Municipal de Transportes (EMT) de Valencia, cuya Jefa de Administración, acabó desviando un total de cuatro millones de euros a una cuenta en Hong Kong, por orden de un estafador que se hizo pasar por abogado de Deloitte.
Y no hay más que echar un vistazo a las cifras que arroja el FBI sobre el impacto de este fraude digital en cifras: ha pasado de 5.000 millones de dólares el dinero estafado en los Estados Unidos, a 26.000 millones en 2019.
La Policía Nacional en el caso de España ofrece pautas para evitar que estos fraudes surtan efecto. Para ello, aconseja establecer un sistema de doble verificación antes de llevar a cabo operaciones sensibles y establecer protocolos de actuación ante la mínima sospecha. Otras medidas de seguridad pasan por mantener actualizado el software de los equipos usados por el CEO, ser prudentes tanto con los correos electrónicos desconocidos como con la información empresarial que se publica en redes, así como mantener la cautela con las conexiones en redes abiertas.
La policía recomienda también prestar especial atención al lenguaje y la redacción, pues a menudo se detectan fallos provenientes de traductores automáticos, y también al momento en que se recibe el correo (suelen actuar en momentos vacaciones o viajes del verdadero CEO, fines de semana u horarios fuera de oficina)
Otra versión de este timo es aquel en que la identidad falsa no es la del CEO sino la de un proveedor que requiere cambiar de forma urgente la cuenta para el próximo pago. En este caso, los criminales cuentan con mucha información en profundidad de la empresa, lo que a menudo hace difícil contemplar la mera posibilidad de que sea un fraude.
Si a pesar de las precauciones se produce la estafa, el Ministerio del Interior recomienda anotar los correos y teléfonos desde los que se ha recibido el mensaje, así como los números de cuenta a donde se ha realizado la transferencia y, por supuesto, denunciar los hechos.
Otro paso fundamental consistiría en informar y formar al resto de empleados de cara a la implantación de protocolos seguros. En un mundo cambiante y una tecnología en constante evolución, está claro que la ciberseguridad es uno de los grandes retos del futuro.
Las píldoras de hoy:
Phishing: es un término informático que alude a las técnicas encaminadas a obtener información de forma ilícita de una víctima suplantando la identidad de otra empresa o persona de confianza. No tiene traducción al español, aunque remite al concepto de “pesca”.
(el) Fraude, (el) timo, (la) estafa: Tres sinónimos para referirse a un engaño premeditado. Sus formas verbales respectivas, serían: cometer fraude, timar, estafar.
Lícito, legal, legítimo vs. Ilícito, ilegal, ilegítimo.
Mula financiera: persona que acepta recibir dinero de procedencia ilegal en su cuenta, para transferirlo a otras cuentas en el extranjero a cambio de una comisión.
Ciberseguridad, fraude cibernético, cibercriminal, ciberataque: El mundo de los delitos digitales ha dado lugar a multitud de términos nuevos, que casi siempre usan el prefijo ciber: relativo a computadoras y realidad virtual. Pero la productividad del prefijo también llega a otras manifestaciones más positivas de nuestra era tecnológica: cibercafé, cibercharla, ciberlector…
Suplantar a alguien / hacerse pasar por alguien: robar la identidad de otra persona con un propósito determinado.
CEO: Chief Executive Officer, lo que en español se traduce literalmente como Oficial Ejecutivo en Jefe. Se trata del cargo máximo de una empresa. A menudo se entiende como presidente o director general. Sin embargo, salvo en pymes que aglutinan ambos cargos en una misma persona, el presidente corresponde más a la figura del fundador y tiene un cargo representativo, mientras que el director general es más operativo. En este caso, CEO estaría más cerca de la figura del presidente, aunque grandes firmas y multinacionales tienen los tres cargos diferenciados.