La Policía Nacional de Valladolid recibía a mediados del mes de julio del presente año una denuncia por parte del administrador de una empresa que había sido víctima de una estafa de gran cuantía. La empresa vallisoletana perjudicada dispone de una asesoría externa que le aconseja en temas financieros e inversiones, recibiendo un email, supuestamente procedente de dicha asesoría, en similares términos a otros anteriores en el que se daban instrucciones para que la empresa realizara una inversión financiera para lo que tenía que realizar dos transferencias bancarias por importes de 201.410 y 211.480 euros, respectivamente, a la cuenta facilitada por los estafadores.
Una vez realizadas las transferencias, por un importe total de 412.890 euros, el representante legal de la empresa se puso en contacto telefónico con la asesoría para corroborar que se habían recibido correctamente dichas transferencias. En ese momento la asesoría comunicó que ellos no habían enviado ningún correo electrónico ni la cuenta destinataria del dinero les pertenecía, por lo que conocieron que habían sido víctimas de una estafa.
Inmediatamente el representante legal de la empresa vallisoletana interpuso denuncia, pudiendo comprobar el Grupo de Investigación Tecnológica que se trataba de una estafa conocida como Business E-Mail Compromise (BEC) o Man in The Middle.
El modus operandi era realiza una primera fase, en la que los cibercriminales seleccionan un objetivo entre distintas empresas, escogiendo en este caso a una sociedad de la provincia de Valladolid. Los datos del correo electrónico los suelen obtener a través de fuentes abiertas como es por ejemplo la página web de la empresa o a través de redes sociales. Segunda fase: a través de diferentes métodos ilícitos de suplantación de identidad (phishing) o algún otro tipo de malware, acceden a las comunicaciones que la empresa mantiene con su asesor financiero a través de email.
En una tercera fase los cibercriminales observan que la empresa vallisoletana realiza inversiones aconsejada por una asesoría financiera, dándole las instrucciones por email, realizando las aportaciones dinerarias por transferencia a la cuenta bancaria que le indica la asesoría. Encontrando así la vía de engaño. Posteriormente, la organización criminal envía un email a la empresa suplantando el de la asesoría financiera y en los mismos términos que lo hace habitualmente, en el que se le pide que realice dos aportaciones dinerarias mediante transferencia a una cuenta que en realidad está controlada por los ciberestafadores. Por último, el representante legal de la sociedad creyendo en la verosimilitud de la información recibida, realiza las dos transferencias por un importe total de 412.890 euros a la cuenta indicada, consumándose el engaño y la estafa.
Tras realizar diversas gestiones de investigación, los policías pudieron comprobar que la cuenta abierta por los cibercriminales era de una entidad bancaria estadounidense donde efectivamente se habían transferido los 412.890 euros. La rápida intervención policial hizo que a los estafadores no les hubiera dado tiempo a disponer de dicha cantidad, por lo que se procedió inmediatamente a su bloqueo preventivo.
Posteriormente y tras recabar la preceptiva orden judicial, se procedió a la retrocesión de las dos transferencias a la empresa vallisoletana víctima de la estafa que finalmente no sufrió perjuicio económico alguno. Desde la Policía Nacional de Valladolid, se ha iniciado una investigación con el fin de identificar plenamente a los cibercriminales así como al titular de la cuenta receptora de las transferencias fraudulentas, para lo que el Grupo de Investigación Tecnológica ha contactado a través de la Oficina Central Nacional de Interpol con el FBI.
Ante el incipiente incremento de estafas de este tipo, pudiendo ser víctimas potenciales cualquier empresa o autónomo, desde Policia Nacional se considera muy importante que se adopten una serie de medidas preventivas como pueden ser las siguientes: Formar y realizar campañas de concienciación a los empleados que puedan realizar pagos en la empresa, con el fin que conozcan este tipo de estafas, ya que son el eslabón más débil en la ciberseguridad; Crear un protocolo para la realización de pagos por parte de la empresa y entre ellos una doble verificación en las transacciones de elevada cuantía o cuando se trate de pagos no habituales: así se puede establecer por ejemplo la aprobación por parte de dos personas distintas y/o utilizar dos canales distintos para su validación definitiva, correo electrónico y una llamada telefónica por ejemplo.
Ante cualquier cambio de numeración de una cuenta bancaria, extremar las precauciones y realizar comprobaciones adicionales. Establecer que nunca se va a realizar un cambio de cuenta por correo electrónico y en su caso se llamará previamente por teléfono. Implementar herramientas de escaneo de correos electrónicos para en su caso detectar correos electrónicos fraudulentos y por supuesto herramientas antimalware. Por último, en caso de ser víctimas de una estafa de este tipo ponerse en contacto con su banco rápidamente así como con la Policía Nacional para tratar de bloquear dicha transferencia.
