La Haya.- Las estafas por correo corporativo a los empleados, engañados a hacer pagos virtuales a cuentas falsas de supuestos proveedores, es un terreno aún “desconocido” para la policía pero supone un crimen “globalizado y en aumento”, dijo este viernes a Efe el director de Cibercrimen de Interpol, Craig Jones.
Los cibercriminales estudian primero el terreno. “Es una inversión para ellos, por lo que le dedican meses” y analizan la cultura nacional y corporativa de realización de pagos, “pues no es lo mismo acudir en España a un banco para hacer una transferencia, que usar el ordenador en Holanda desde la oficina de la empresa”.
Una vez entienden la frecuencia, el modelo e identifican a los proveedores habituales y a los empleados encargados de hacer los pagos, tanto en el caso de las pymes como en las multinacionales, recurren a las técnicas informáticas para atacar.
“Lo pueden hacer de una manera técnica: acceden a la red de una compañía, cambian los ajustes del correo para poder interceptarlos antes de que lleguen al destinatario, y modifican el número de cuenta del beneficiario para que el empleado de turno haga la transferencia a la cuenta errónea, a la de los criminales”, explica.
Los trabajadores también pueden ser víctimas de lo que se conoce como ingeniería social, la influencia psicológica en su actitud: “Reciben un correo desde un email corporativo, creyendo que es de su jefe, que exige hacer un pago inmediato, poniendo urgencia para que la víctima sienta presión de pagar, y caen en la trampa”.
Esta práctica se conoce como el fraude del CEO o los ataques BEC (Business Email Compromise, en inglés) y los policías de más de setenta países, entre ellos España, se han unido en una campaña internacional de concienciación, alarmados por el aumento de denuncias de diferentes empresas que han sido víctimas de este tipo de crimen.
La Organización Internacional de Policía Criminal (Interpol) y la agencia europea de coordinación policial (Europol) han lanzado esta semana la campaña #BECareful, durante una conferencia internacional en La Haya sobre el aumento de diferentes tipos de cibercriminalidad, desde fraudes financieros, hasta pornografía infantil, terrorismo y crimen organizado.
Se trata de alertar a las empresas y las autoridades de diferentes países de la existencia de este fraude que, aunque relativamente conocido entre las fuerzas de seguridad, ha recaudado 1.000 millones de dólares solo el año pasado.
“Si recibes un correo que pide hacer una transferencia, debes tomarte un minuto para pensar que quizás haya algo raro antes de hacer la gestión”, advierte Jones.
La campaña ofrece información en redes sociales sobre cómo funcionan los criminales dedicados a este tipo de fraudes, da asesoramiento sobre cómo detectar una solicitud potencialmente fraudulenta y presenta consejos de ciberseguridad para proteger de la intrusión a los sistemas informáticos de empresas.
“¿Qué haría si un proveedor conocido le pide que envíe todos los pagos futuros a una nueva cuenta en un banco diferente? ¿Haría el pago de inmediato y cambiaría los datos bancarios, o primero verificaría la solicitud a través de un canal diferente?”, se pregunta esta campaña.
Interpol todavía no entiende qué tienen en común los países más afectados, como Estados Unidos o Singapur: “¿Será la infraestructura? ¿El modelo de negocio? ¿Tendrán los criminales un conocimiento claro de sus objetivos? Necesitamos esa información para poder dar respuesta, y hace falta que la gente denuncie los fraudes”, dice.
Las víctimas pueden ser pymes, con 5 ó 10 empleados, sin grandes movimientos financieros, por lo que perder 10.000 euros tendría un gran impacto en ellos, pero los criminales están enfocados especialmente en multinacionales, donde se dirigen a los trabajadores que tienen la última decisión a la hora de hacer pagos.
En una sociedad cada vez más digitalizada, lamenta, el crimen pasa del mundo físico al ciberespacio, donde “las oportunidades se multiplican, no hay fronteras ni límites, y cuando el dinero sale de las fronteras, la Policía tiene retos diferentes para investigar, recoger pruebas e identificar a los criminales”.
Según las cifras que maneja Interpol, más del 85 % de los delitos que se cometen en la red no se denuncian a la Policía, especialmente por la creencia de que es difícil perseguir a un ciberdelincuente.