Agentes pertenecientes a la Jefatura Superior de La Rioja han detectado en un breve espacio de tiempo una nueva modalidad de estafa conocida como “Fraude del CEO”, (Chief Executive Officer) y, especialmente, de fraudes BEC (Business Email Compromise).
Los agentes están observando un aumento de los casos en los que, de una forma u otra, un organismo oficial aparece involucrado en alguna tentativa de este tipo de fraude, ya sea como víctima o como parte involuntaria del engaño por haber sido suplantado. El mayor incremento se está dando en los fraudes BEC, en el que el “cebo” empleado es un cambio imprevisto en la cuenta bancaria de pago a proveedores.
En el caso de las Administraciones Públicas, las organizaciones criminales defraudadoras pueden obtener, vía online y sin rastro alguno, información pormenorizada sobre contratos establecidos por la Administración Pública y los altos cargos públicos responsables de su tramitación. El uso generalizado en la Administración General del Estado del Punto General de Entrada de Facturas Electrónicas de la A.G.E., así como el control exhaustivo que se realizada sobre el pago a proveedores, hace más difícil que esta Administración sea víctima de este tipo de fraudes, en el sentido de la realización de un pago a un proveedor suplantado.
Se considera, en base a las tentativas de fraudes reportadas a la Policía Nacional por diferentes organismos de la Administración Pública, que la dinámica delictiva que se está extendiendo es la suplantación por las organizaciones criminales de responsables públicos de contratos específicos. Para ellos, los ciberdelincuentes desarrollan un engaño a través de correos electrónicos basado en datos precisos y pormenorizados de contrataciones reales, enfocándose en las empresas proveedoras como víctimas, tanto en la modalidad de pagos fraudulentos a un organismo público suplantado, como pagos fraudulentos entre contratista y subcontratista.
BEC (Business Email Compromise)
En los casos de fraudes BEC, en el escenario aparecen pequeñas empresas o personas físicas que, ya sea de forma regular o de forma ocasional, participan en una operación de compraventa o de prestación de servicios. Los términos de la transacción se negocian entre las partes legítimas mediante correos electrónicos fundamentalmente y, en algunos casos, también mediante aplicaciones de mensajería instantánea.
En este tipo de fraudes, se consigue el acceso ilegítimo a una o a ambas cuentas de correo implicadas y se obtiene información sobre los pagos esperados, fechas, cantidades, personas implicadas, mercancía o servicios con los que se comercia y estilo de lenguaje utilizado, entre otros.
Con esta información, la organización criminal defraudadora normalmente registrará una dirección de correo con un aspecto visual muy similar al de la dirección auténtica utilizada por las partes legítimas para suplantar la identidad de una de ellas, normalmente la del vendedor o proveedor del servicio. Posteriormente solicitaban un adeudo económico pendiente en una cuenta bancaria controlada por la organización criminal, argumentando con cualquier excusa que se ha producido un cambio en la cuenta bancaria habitual donde se venían recibiendo los pagos legítimos con anterioridad.
Empresa riojana
En uno de los casos denunciados en la Jefatura Superior de La Rioja, los delincuentes tras estudiar a la potencial víctima, obtuvieron la información de una empresa riojana y, haciéndose pasar por otra empresa, solicitaron el pago de una factura pendiente. La victima conocedora que debía pagar esa factura no dudo en realizar el pago, efectuándolo inmediatamente en la cuenta bancaria fraudulenta aportada por los delincuentes.
Posteriormente, a los pocos días, cuando la empresa le requiere el pago del importe legal, es cuando la víctima se percata de que ha sufrido una estafa. El total de importe estafado asciende a cantidades que llegan a alcanzar los 50.000 euros.
Investigación de un negocio
Los timadores investigaron un negocio para posteriormente realizar una llamada al teléfono del mismo, aprovechando que el gerente no se encontraba en ese momento, y así tras embaucar a un empleado, los delincuentes consiguieron que este último realizase una serie de pagos para abonar unas supuestas facturas impagadas.
Coordinación
El entramado pasó por entretener y presionar al empleado, no dejándole tiempo para pensar o realizar las comprobaciones oportunas, manteniéndole ocupado en una primera llamada telefónica e inquiriéndole que deje la línea de teléfono libre y espere la llamada del supuesto repartidor, evitando así que pueda contactar con ninguna otra persona que le saque del engaño.
A continuación, un cómplice del autor realizó una segunda llamada al establecimiento figurando ser el repartidor de la entrega para comprobar si ya se han realizado los pagos pendientes, aumentando la presión sobre el empleado víctima que para ganarse la aprobación “de su jefe” buscará los medios para realizar los pagos cuanto antes.
Los fraudes al CEO (Chief Executive Officer) tienen en común a los fraudes BEC (Business Email Compromise) la suplantación de la identidad de una persona con capacidad para ordenar o solicitar pagos a otra parte implicada en una transacción económica a fin de conseguir un trasvase de fondos a una cuenta bancaria controlada por el defraudador.
En ambos casos es necesario disponer de información sobre la víctima y su entorno para construir un relato con suficientes datos objetivos y ciertos que permitan generar en la víctima la creencia de que está tratando con la persona que está siendo suplantada.
En los casos de fraudes al CEO, la persona suplantada es un alto directivo de la empresa. La víctima, además de la propia empresa, que será la que en última instancia sufra el perjuicio patrimonial, es un empleado del departamento de finanzas autorizado para realizar pagos a entidades externas. En este tipo de fraudes, el escenario ideado para propiciar la transferencia de dinero hacia la cuenta del defraudador es el de una “operación estratégica” de la máxima importancia para la viabilidad de la compañía.
Se crea un entorno cerrado en el que sólo tienen cabida el defraudador y su interlocutor dentro de la empresa, insistiendo desde los primeros mensajes en la importancia de no compartir la información fuera de ese círculo exclusivo que forman el supuesto directivo y su empleado. Se insiste en mantener las comunicaciones restringidas al ámbito del correo electrónico al objeto de evitar que el empleado identifique que la voz que se escucha al otro lado del teléfono no es la del directivo real con el que cree estar tratando.
Consejos de la Policía Nacional
La Policía Nacional aconseja que para evitar que aumenten las víctimas de este tipo delictivo se deben de tener en cuenta las siguientes pautas:
-Evita facilitar información sobre clientes o proveedores en la página web de la empresa y en redes sociales, lo que lo pone más fácil a los suplantadores de identidad.
-Solicitar la cuenta de pago de forma previa a la formalización de una operación, verificando así que la cuenta de pago de la factura es la acordada previamente con el proveedor.
-Instalar, en su caso en los sistemas informáticos, herramientas para detectar y bloquear correos fraudulentos o con contenido malicioso.
-Mantener habilitados y actualizados sistemas de prevención de malware.
-Crear un protocolo paso a paso cómo realizar los procesos de pago en la empresa.
-Crear un sistema de doble verificación (telefónica o por correo electrónico) permite asegurar la legitimidad de la operación.
Y un aspecto de especial relevancia, formar a todos los empleados en prevención de este tipo de estafas, que incluya el protocolo de pagos.