El fraude del correo electrónico se ceba con las empresas en Málaga

La ingeniería social, que es como se conoce al arte de engañarnos para obtener información confidencial de nuestros dispositivos, depende en primer lugar de que tú bajes la guardia. Las modalidades son infinitas, tantas como papeles sean capaces de interpretar los ciberdelincuentes para hacernos creer que son lo que no son. 'Phishing' (pescar las claves bancarias para vaciarte la cuenta), 'grooming' (pedófilos que engañan a menores a través de redes), 'sexting' (difusión de imágenes de contenido íntimo), 'sextorsión' (lo anterior, pero con chantaje incluido, como le ha sucedido al ex entrenador del Málaga Víctor Sánchez del Amo)...

La última amenaza en el cibercrimen ha sido bautizada por los expertos bajo el acrónimo 'BEC', que significa, en inglés, 'Business Email Compromise' y que no es otra cosa que infectar con un virus un ordenador de un directivo de la empresa, siempre a través del correo electrónico, para controlar el negocio. Uno de los 'malwares' (un programa informático hostil) más famosos ha sido 'wannacry', de la familia de los 'ransomware', que proviene de la palabra inglesa ransom (rescate). En esencia, se trata de un virus que se instala en la red de una empresa, secuestra todos los dispositivos y exige el pago de un rescate para liberarlos, como le sucedió a Telefónica en 2017 o a un hotel suizo donde los ciberdelincuentes lograron dejar encerrados a varios huéspedes (bloquearon por control remoto todas las puertas de las habitaciones) para presionar a los dueños.

En España, el fraude informático supone el 80% de los delitos tecnológicos, pasando de unos 40.864 casos conocidos en 2015 a 88.760 en el año 2018, según el último estudio sobre cibercriminalidad publicado por el Ministerio del Interior. Las estafas 'BEC' generan para estos delincuentes ingresos millonarios y un auténtico agujero económico para las empresas. El FBI investigó más de 20.000 incidentes de seguridad relacionados en concreto con este fraude en 2018, lo que supuso un aumento del 78%, como refleja un informe de la empresa de seguridad informática Panda, conocida por su popular antivirus. La Financial Crimes Enforcement Network estadounidense estima que la cantidad de dinero obtenida por los ciberdelincuentes con este fraude alcanzó los 301 millones de dólares al mes en 2018.

Dentro de las estafas 'BEC', la más popular de todas es el denominado 'fraude del CEO' (director ejecutivo), una modalidad del cibercrimen que acaba de golpear en Málaga a Plaza Mayor. Los delincuentes se apoderaron de 120.000 euros que estaban destinados a pagos de las obras del 'outlet' de lujo, que aún está pendiente de su inauguración. Lo lograron tras inocular un virus en un ordenador del centro comercial y suplantar la identidad de una trabajadora.

El 'fraude del CEO' está haciendo verdaderos estragos en el mundo empresarial y tienen en jaque a los departamentos de seguridad informática de cualquier compañía. Se basa en la técnica del 'spear phishing', que consiste en infectar un ordenador de un alto directivo mediante un correo electrónico que lleva un virus oculto bajo la apariencia aparentemente inocua de una factura o un link.

Al ejecutar el archivo, un 'malware' espía se cuela silenciosamente en el servidor de la compañía y, a partir de ese momento, los ciberdelincuentes monitorizan toda la actividad financiera. «Es lo que se conoce como 'man in the middle', una persona que se coloca en medio y que controla todas las comunicaciones», explica el jefe del Grupo de Ciberdelincuencia de la Policía Nacional en Málaga, que ha arrestado en Valencia a cuatro personas por la estafa a Plaza Mayor.

El 'man in the middle' examina durante semanas la facturación de la empresa, la lista de proveedores, clientes, las funciones del CEO, su forma de actuar... Así fue como descubrieron que Plaza Mayor tenía que efectuar dos transferencias -una de 38.000 euros y otra de 80.500- a un tercero con motivo de las obras del 'outlet'. Y ahí es cuando entran en juego las últimas técnicas de ingeniería social. Los ciberdelincuentes esperan el momento oportuno -como, por ejemplo, un viaje o una reunión del CEO- y suplantan la identidad de la persona que debe recibir el pago. «Ya no es la típica redacción burda. Crean un e-mail prácticamente idéntico al original y escriben un correo solicitando el pago que puede pasar perfectamente por auténtico», aclara el inspector al mando del grupo que investiga estos delitos en la provincia de Málaga. El correo, obviamente, va acompañado de un número de cuenta de la organización criminal y los contables realizan la transferencia sin sospechar nada. En el caso de Plaza Mayor, a los delincuentes les dio tiempo a solicitar hasta dos transferencias diferentes -una a primeros de agosto de 2018 y la otra, a finales- sin que nadie detectara el engaño.

Una variante de la 'estafa del CEO' es la que conoce como 'fraude de las nóminas'. En este caso, infectan un ordenador del departamento de contabilidad y envían al responsable de los pagos un e-mail que es casi idéntico al de un trabajador, indicándole que ha cambiado de número de cuenta y que haga el ingreso en otra distinta [la del ciberdelincuente]. Otra modalidad, dentro de esta misma variante, consiste en desviar una pequeña cantidad de la nómina de cada uno de empleados. «Como casi nadie cobra lo mismo todos los meses, porque varían las retenciones, puede pasar inadvertido para los trabajadores», apunta el policía.

En todos los casos, una vez desviados los fondos, el dinero vuela y se reparte en otras transferencias menores a distintas cuentas corrientes. Luego, los colaboradores locales de la organización realizan reintegros en cajeros o ingresos en casas de apuestas. El efectivo se envía al extranjero a través de servicio de intermediación financiera como MoneyGram y Western Union que impiden seguir el rastro del dinero. Así es como llega a los artífices del delito, estén donde estén. Porque raramente se les logra detener, ya que usan procedimientos informáticos (anonimizadores de Red) que enmascaran su actividad.

Los cuatro arrestados en Valencia forman parte del escalón «intermedio» de la organización, cuyo papel consiste básicamente en recibir los fondos del fraude, distribuir el dinero y realizar las extracciones. Es lo que en el argot policial se conoce como 'mulas'. «Algunas organizaciones usan a indigentes o a personas necesitadas a las que pagan 50 euros a cambio de abrir una cuenta a nombre de éstos y entregar a los delincuentes las tarjetas y claves», aclara el jefe del Grupo de Ciberdelincuencia. Aparte de éstas, hay otras dos clases de 'mulas': ciudadanos a los que engañan con falsas ofertas de trabajo (solo tienes que mover el dinero y te quedas con un 10% como comisión) y las profesionales, miembros de la organización que saben perfectamente que los fondos provienen de estafas.

Las empresas se cuidan cada vez más frente a esta amenaza. «Han empezado a capar los puertos USB de los ordenadores [por la técnica del pen drive perdido: los delincuentes dejan tirado en la puerta de una gran compañía un lápiz de memoria infectado con un virus para que algún empleado lo encuentre y, por curiosidad, lo introduzca en el PC]. Se recomienda, dependiendo de la entidad de la empresa, que dispongan de un departamento de seguridad informática exclusivo o que, al menos, tengan todos los programas y antivirus actualizados», expone el inspector, que aconseja a cualquier usuario «no descargar archivos ni activar dispositivos externos de fuentes desconocidas». Algunas empresas han comenzado a hacer simulacros enviando correos al azar a empleados para ver cómo reaccionan cuando los reciben.

El informe de la agencia Financial Crimes Enforcement Network norteamericana, recogido por Panda, indica que las empresas dedicadas a productos manufacturados y construcción constituyen el 25% de las 'víctimas' del fraude del CEO. El 18% pertenece a la industria de servicios comerciales, mientras el porcentaje de compañías afectadas del sector financiero ha caído del 16% al 9%.

Las consecuencias del ciberataque pueden ser mucho peores que la estafa. «No solo por el dinero obtenido con el fraude, sino también por lo que supone perder una base de datos, que le puede costar [a la compañía] una multa de millones de euros por la Ley de Protección de Datos», apostilla el inspector. British Airways sufrió un ciberataque que expuso datos personales de más de 500.000 clientes. La Oficina del Comisionado de Información en el Reino Unido le impuso en 2019 una multa de 204 millones de euros, aunque la aerolínea apeló.

De hecho, en muchas ocasiones, el objetivo no es defraudar a la empresa, sino obtener datos personales de sus clientes para estafarlos a ellos. En Japón, ciberdelincuentes usaron un servicio de entrega a domicilio para distribuir CD infectados con un 'malware' espía a clientes de un banco nipón tras robar las direcciones de éstos de la base de datos de la entidad. La estafa 'BEC', en particulares, se denomina 'EAC' (Email Account Compromise). El sistema es el mismo. Infectan tu ordenador con un virus que recibes por correo, descubren que tienes que hacer una transferencia, se hacen pasar por la empresa destinataria y te indican la cuenta a la que debes hacerla. La del delincuente.