La Policía advierte de los fraudes en la red con la Administración central de víctima o «gancho»
0
Lo que ha llamado la atención de la Unidad de Investigación Tecnológica de la Comisaría General de Policía Judicial es que hay un aumento notable de los casos en los que, de una forma u otra, un organismo oficial aparece involucrado, ya sea como víctima o como parte involuntaria del engaño por haber sido suplantado. De las dos modalidades, CEO y BEC, es esta última, en la que el «cebo» empleado es un cambio imprevisto en la cuenta bancaria de pago a proveedores, la que tiene mayor incidencia.
Los expertos venían alertando desde hace tiempo de las debilidades de los sistemas informáticos de las administraciones. En el caso de las Administraciones Públicas, las organizaciones criminales defraudadoras pueden obtener, vía online y sin rastro alguno, información pormenorizada sobre contratos firmados por ella y los altos cargos públicos responsables de su tramitación.
El uso generalizado en la Administración General del Estado del Punto General de Entrada de Facturas Electrónicas de la A.G.E., así como el control exhaustivo que se realiza sobre el pago a proveedores, hace más difícil que esta administración sea víctima de este tipo de fraudes, en el sentido de la realización de un pago a un proveedor suplantado. Pero no imposible.
Buena información
La modalidad delictiva que más se está extendiendo es la suplantación por parte de las organizaciones criminales de responsables públicos de contratos específicos. Para ello, «los ciberdelincuentes desarrollan un engaño a través de correos electrónicos basado en datos precisos y pormenorizados de contrataciones reales, enfocándose en las empresas proveedoras como víctimas, tanto en la modalidad de pagos fraudulentos a un organismo público suplantado, como pagos fraudulentos entre contratista y subcontratista», explica la Policía.
En los casos de fraudes BEC, aparecen pequeñas empresas o personas físicas que, ya sea de forma regular o de forma ocasional, participan en una operación de compraventa o de prestación de servicios. Los términos de la transacción se negocian entre las partes mediante correos electrónicos fundamentalmente y, en algunos casos, también mediante aplicaciones de mensajería instantánea. Los criminales consiguen el acceso ilegítimo a una o a ambas cuentas de correo implicadas y se obtiene información sobre los pagos esperados, fechas, cantidades, personas implicadas, mercancía o servicios con los que se comercia y estilo de lenguaje utilizado, entre otros.
Con esta información, la trama criminal registra una dirección de correo con un aspecto visual muy similar al de la dirección auténtica utilizada por las partes para suplantar la identidad de una de ellas, normalmente la del proveedor del servicio. Posteriormente solicitan que se haga el pago en una cuenta bancaria controlada por ella, argumentando con cualquier excusa que se ha producido un cambio en la cuenta bancaria habitual donde se venían recibiendo los pagos con anterioridad.
La situación es preocupante porque los fraudes afectan a todo tipo de entidades, empresas de todos los sectores y tamaños, clubes de fútbol, autónomos, inmobiliarias, productoras de cine y teatro, y, también recientemente, a organismos públicos.
Datos objetivos y ciertos
Por su parte, los fraudes al CEO tienen en común a los fraudes BEC la suplantación de la identidad de una persona con capacidad para ordenar o solicitar pagos a otra parte implicada en una transacción económica a fin de conseguir un trasvase de fondos a una cuenta bancaria controlada por el defraudador. En ambos casos es necesario disponer de información sobre la víctima y su entorno para hacer creíble el engaño.
En los casos de fraudes al CEO, la persona suplantada es un alto directivo de la empresa. La víctima, además de la propia empresa, que será la que en última instancia sufra los daños económicos, es un empleado del departamento de finanzas autorizado para realizar pagos a entidades externas. En este tipo de fraudes, el escenario ideado para propiciar la transferencia de dinero hacia la cuenta del defraudador es el de una «operación estratégica» de la máxima importancia para la viabilidad de la compañía.
«Se crea un entorno cerrado en el que sólo tienen cabida el defraudador y su interlocutor dentro de la empresa, insistiendo desde los primeros mensajes en la importancia de no compartir la información fuera de ese círculo exclusivo que forman el supuesto directivo y su empleado», dice la Policía. Se insiste en mantener las comunicaciones restringidas al ámbito del correo electrónico al objeto de evitar que el empleado identifique que la voz que se escucha al otro lado del teléfono no es la del directivo real con el que cree estar tratando.
La clave, la verosimilitud
Se solicita información sobre los saldos y liquidez de la empresa, dado que esta información no suele estar al alcance de personas ajenas a la compañía. Al objeto de dar mayor verosimilitud a la falacia se hacen alusiones a entidades como la CNMV, que supuestamente estaría respaldando la operación, y se solicitarán documentos firmados por el directivo suplantado, que servirán para falsificar su firma y plasmarla en documentos falsos aportados por la red criminal para reforzar la idea de que es el auténtico CEO de la empresa el que está detrás de la operación.
Una vez se consigue doblegar la voluntad de la víctima, se suceden continuas solicitudes de transferencias de fondos que sólo finalizarán cuando la empresa atacada se percate de que se ha sobrepasado el límite de lo razonable. En ningún caso el defraudador se dará por satisfecho con lo conseguido. El engaño continuará hasta que la víctima lo pare.
Para evitar que estos fraudes lleguen a cometerse es imprescindible que tanto los responsables públicos de los departamentos de contratación como las empresas adjudicatarias y subcontratadas de contratos públicos extremen sus precauciones.