La estafa por cambio de número de cuenta bancaria en emails

El pasado mes de mayo, una empresaria jerezana denunció haber sido víctima de una estafa a través del método conocido como man in the middlehombre en el medio»). Su empresa había enviado una factura por correo electrónico a una empresa cliente en Madrid, pero los datos de la cuenta en la que debía hacerse el ingreso fueron manipulados por un ciberestafador que, sin que las empresas afectadas fueran conscientes, estaba monitorizando sus conversaciones.

Este es solo un ejemplo, pero podríamos destacar muchos más, porque esta estafa se está convirtiendo en una de las más populares. De hecho, existen auténticas mafias organizadas dedicadas a este tipo de delitos telemáticos.

Tanto es así que, a principios de 2023, la Guardia Civil detuvo a 25 personas por su presunta implicación en ataques informáticos tipo man in the middle. La organización habría estafado a más de 100 empresas en diferentes lugares del mundo, y se estima que el volumen de lo defraudado puede superar los 5 millones de euros.

¿En qué consiste la estafa man in the middle?

También conocida como estafa del CEO, o ataque MITM, el modus operandi es relativamente sencillo para los ciberdelincuentes. Y muy fructífero, porque para cuando las víctimas quieren darse cuenta de lo que ha ocurrido, estos ya han hecho desaparecer el dinero.

El delito se desarrolla en varias fases:

Obtención de datos para crear una cuenta bancaria falsa

La primera parte de la actividad delincuencial implica hacerse con los datos personales de un individuo y una foto de su DNI. Con esto, es posible abrir una cuenta bancaria a nombre de dicha persona en entidades bancarias que operan online.

Para obtener esa información, los delincuentes suelen publicar anuncios en redes sociales o en webs especializadas en anuncios entre particulares ofreciendo un empleo, vendiendo un coche, etc.

Cuando se produce el contacto con la víctima, el estafador le pide a esta que le envíe una foto de su DNI para poder formalizar el contrato. Una vez hecho esto, el presunto vendedor u ofertante del empleo desaparece, y la otra parte no vuelve a saber de él. Lo que desconoce es que ha sido víctima de una estafa, y que sus datos personales serán utilizados para abrir una cuenta bancaria a su nombre.

Intervención de las comunicaciones de una empresa

Para perpetrar la estafa, el delincuente necesita encontrar una brecha en la seguridad de la empresa. Y lo cierto es que conseguirlo no suele costarle demasiado.

Software desactualizado, la conexión de móviles de trabajo a redes WiFi abiertas, la descarga por parte de los empleados de contenido no autorizado… hay muchas maneras en las que los hackers pueden infectar los equipos informáticos de una compañía sin que nadie se dé cuenta de ello.

Una vez que lo han logrado, empieza una labor de monitorización de las comunicaciones que la empresa mantiene vía correo electrónico con sus proveedores. Hasta que llega el momento de pasar a la acción.

Cuando el delincuente lo considera oportuno, altera el contenido del correo electrónico que la empresa está recibiendo de su proveedor. Pero lo hace de manera tan sutil que nadie notará que el mensaje ha sido manipulado.

De esta forma, la información para el pago que le llega al cliente, ya no lo hace con el número de cuenta de la empresa proveedora sino con el número de la del hacker.

Cuenta que, como hemos señalado antes, está a nombre de una persona cuya identidad ha sido sustraída a través de una estafa previa.

Como resultado, la empresa cliente acaba haciendo el ingreso para pagar la factura en una cuenta que no es la de su proveedor de productos o servicios. En cuanto recibe el dinero, el hacker lo transfiere a un exchange de criptomonedas (plataforma online de intercambio de monedas) y así se le pierde la pista al mismo.

Dado que el plazo para el abono de facturas suele ser de varias semanas, el proveedor no aprecia que hay un problema hasta que no transcurre dicho lapso sin haber recibido el dinero. Se pone entonces en contacto con su cliente, que manifestará haber hecho el abono, e incluso podrá justificarlo documentalmente.

Al revisar las comunicaciones y los datos, es cuando se descubre que se ha producido una suplantación de identidad del proveedor. Pero, para entonces, ya es demasiado tarde.

Veámoslo de una forma más sencilla y esquematizada:

1. Obtención de datos personales

  • Hacker estafa a una persona para conseguir una foto de su DNI ofertándole un trabajo temporal en su pueblo.
  • Hacker, una vez tiene la foto del DNI de la esta persona, crea una cuenta bancaria online y una cuenta en un exchange de Bitcoin (plataforma online de intercambio de monedas) a nombre de esta persona sin que tenga conocimiento de ello.

2. Intervención de las comunicaciones entre empresas

  • Hacker accede a la red de comunicaciones de la empresa cliente que debe pagar por los productos o servicios encargados.
  • Hacker monitoriza y está muy pendiente de las conversaciones que la empresa cliente mantiene con la empresa proveedora a través del correo electrónico de la persona encargada de hacer los pagos (generalmente el correo hackeado y monitorizado por el hacker está en el lado de la empresa que actúa de cliente que es la que realiza el pago).

3. Alteración del mensaje de pago

  • La empresa proveedora envía un correo a la empresa cliente con detalles para el pago de un producto o servicio suministrado.
  • Hacker intercepta el mensaje y modifica el número de cuenta de la empresa proveedora, cambiándolo por el número de cuenta que ha abierto de forma fraudulenta a nombre de la persona con identidad suplantada.

4. Pago a la cuenta falsa

  • La empresa cliente recibe el correo modificado y realiza el pago en la cuenta de la persona cuya identidad ha sido suplantada, convencido de que esa cuenta bancaria es de la empresa proveedora.
  • Hacker, que controla la cuenta bancaria a nombre de la persona con identidad suplantada, accede al dinero, lo envía al exchange de Bitcoin y lo convierte en criptomonedas haciendo imposible seguir la pista al dinero.

5. Detección de la estafa

  • Ante el impago, la empresa proveedora informa a la empresa cliente de que todavía no ha recibido el pago por una factura en cuestión.
  • La empresa cliente manifiesta haber pagado y, al revisar la documentación, las empresas se dan cuenta de que han sido víctimas de una estafa.

Cómo evitar la estafa del CEO

Es complicado detectar una infección de los equipos informáticos de una empresa porque no suelen dar muestras de que algo vaya mal. Por eso, lo más inteligente es enfocarse en la prevención. Esto implica:

  • Acceder únicamente a páginas web que tengan certificado que acredite su seguridad (son aquellas que empiezan por HTTPS).
  • Proteger la red WiFi de la empresa con contraseñas robustas y difícilmente adivinables. No se recomienda mantener la contraseña que viene por defecto en el router.
  • Mantener el software de los equipos actualizado a la última versión.
  • Utilizar contraseñas robustas para el acceso a diferentes plataformas y programas. Si es posible, establecer un sistema de autenticación en dos pasos.
  • No conectarse con los equipos del trabajo a redes WiFi abiertas y, en caso de tener que hacerlo, emplear una red privada privada virtual (VPN). Si no se puede hacer uso de esta última, es importante no difundir información personal desde una red WiFi pública, por lo que es conveniente no conectarse a redes sociales, a servicios de banca online, o a los sistemas de la empresa.
  • No abrir enlaces de correos que lleguen desde fuentes desconocidas.
  • Utilizar un antivirus y antimalware en todos los equipos corporativos y mantenerlo actualizado. Hacer escaneos frecuentes para asegurarse de que no hay infecciones.
  • Mantener el firewall siempre activado en aquellos sistemas que lo permitan.

Para empresas o profesionales que reciben facturas de sus proveedores, es esencial verificar la información de pago antes de realizar la transferencia.

¿Qué hacer ante un ataque man in the middle?

Detectado el fraude, hay que denunciarlo inmediatamente ante la Policía o la Guardia Civil, que se encargarán de investigar lo ocurrido.

De este delito se derivan consecuencias jurídicas penales y civiles. Las penales recaen sobre el hacker, que ha llevado a cabo un delito de estafa. Si es descubierto y condenado, tendrá que reparar el daño, restituyendo a la empresa cliente lo que ésta pagó en su momento pensando que se lo abonaba a su proveedor.

Mientras esto ocurre, hay que resolver sobre la responsabilidad civil, porque hay una empresa que ha perdido dinero y otra que no ha cobrado. ¿Quién debe asumir las consecuencias? La entidad que ha pagado sin saberlo al estafador, ¿debe abonar el importe de la factura a su proveedor?

La cuestión de si la obligación de pago subsiste o no ha generado un importante debate jurídico. En este sentido, se viene aplicando la doctrina del acreedor aparente, cuyo máximo exponente es la sentencia del Tribunal Supremo de 17 de octubre de 1998, que analiza en detalle los artículos 1162 y 1164 del Código Civil (CC).

La regla general en Derecho Civil es que el pago solo tiene efectos liberadores cuando se efectúa ante el verdadero acreedor (art. 1162 CC). Pero el artículo 1164 determina que el pago hecho de buena fe, a quien estuviese en posesión del crédito, sí tiene efectos liberatorios. Por analogía, se entiende que en la estafa man in the middle el hacker aparenta ser el acreedor legítimo del crédito.

¿Queda entonces liberado el deudor de pagar al verdadero acreedor? No directamente. Porque para que el pago hecho al acreedor aparente tenga efectos liberatorios no basta con que el deudor acredite que creía que estaba pagando a su verdadero acreedor. Es necesario que exista esa creencia aun habiendo empleado toda la diligencia exigible de acuerdo con las circunstancias.

En la práctica, esto le complica mucho las cosas a la empresa cliente, ya que tiene que demostrar su buena fe y que no ha habido negligencia por su parte. En este sentido, abonar la factura sin comprobar con el proveedor el número de cuenta puede llegar a entenderse como una conducta negligente. Y de ser así, la empresa cliente acabaría pagando por partida doble, una vez al estafador y otra a su proveedor.

La doctrina de los tribunales en torno a este tema va avanzando poco a poco, por ser esta una cuestión novedosa. A día de hoy, se estima que no se le puede exigir a los empleados de una empresa un grado de diligencia que sería propia de un profesional telemático o de un experto policial en ciberdelitos. Por ello, si no había forma de detectar el engaño por ser este extremadamente sútil, se entiende que ese pago sí tiene efectos liberatorios.

En todo caso, habrá que atender a las circunstancias concurrentes en cada caso concreto. Si la empresa pagadora no tenía motivos para sospechar, los tribunales podrían eximirla de hacer el pago al acreedor legítimo.

En esta estafa siempre hay alguien que va a salir perdiendo. O la empresa cliente que acaba pagando dos veces, o la empresa acreedora que se queda sin cobrar un producto o servicio. Por eso, se aconseja tratar estos temas con el mayor cuidado posible.

Al denunciar, hay que procurar evitar reconocer hechos que puedan implicar que ha habido una actuación negligente o una deficiencia del sistema. De hecho, es recomendable consultar con profesionales jurídicos y especialistas en seguridad informática antes de empezar las acciones legales. Así como guardar toda la información relativa a lo ocurrido y llevar a cabo una auditoría de seguridad en las dos empresas implicadas, para detectar posibles infecciones maliciosas.

A la espera de una nueva jurisprudencia del Tribunal Supremo

¿Cuál es el papel de la entidad bancaria en esta estafa? La práctica bancaria habitual implica que para hacer una transferencia es necesario aportar el IBAN del receptor y su identidad. A pesar de ello, aunque el pagador indique la identidad del destinatario, las entidades bancarias no suelen comprobarla.

En la estafa del CEO, la empresa cliente hace el abono a un número de IBAN y a nombre de la empresa proveedora. Pero resulta que ese número de cuenta no está asociado a la empresa que debería recibir el pago, sino a un particular. Para los juristas, aquí puede existir una importante negligencia por parte de la entidad bancaria.

Se espera que en los próximos meses el Tribunal Supremo se pronuncie sobre la responsabilidad que puede tener el banco en este tipo de delitos. En su caso, podría haber negligencia por no corroborar que el número de cuenta indicado por quien hace la transferencia está efectivamente a nombre de la persona o entidad a la que manifiesta que se desea enviar el dinero.

Si la doctrina del Tribunal Supremo se inclina a favor de apreciar una negligencia en estos casos, serían los bancos los que deberían responder de las consecuencias de una estafa MITM por resultar colaboradores necesarios para la ejecución de la misma.

Otras cuestiones que pueden acabar dando lugar a la responsabilidad del banco como cooperador o responsable civil en un posible delito de blanqueo de capitales, es que haya incumplido obligaciones tales como permitir la apertura de una cuenta bancaria a alguien cuya identidad no estaba debidamente acreditada, no informarse sobre la actividad ejercida por esa persona o empresa, o no informar al SEPBLAC sobre los movimientos sospechosos de dinero en las cuentas.

Man in the middle es una estafa muy difícil de detectar y frente a la que la mejor defensa es una buena actuación preventiva. Sin embargo, cuando el daño ya está hecho, la labor del perito informático se vuelve esencial para depurar la responsabilidad civil y ayudar a jueces y tribunales a determinar quien tiene que asumir las consecuencias económicas de la estafa por haber actuado con negligencia. En casos tan complejos como este, la experiencia del experto en informática contribuye a conseguir una resolución equitativa para todos los involucrados.

0 Comentarios

Contesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

*

¿Necesitas que analice tu caso?

(No realizo análisis de hackeos de teléfonos ni recupero chats borrados)

Aviso legalPolítica de privacidadPolítica de cookiesAjustes de cookies

©2019-2024 Mi Perito Informático - Reservados todos los derechos

error: Prohibida la copia y reproducción. Vulnerar esta prohibición será castigado con la pena de prisión de seis meses a cuatro años según el artículo 270.1 del Código Penal.

Inicia Sesión con tu Usuario y Contraseña

¿Olvidó sus datos?