Este modus operandi consiste en interceptar el correo electrónico de una empresa para conseguir una factura, modificarla y conseguir que el acreedor ingrese su importe en la cuenta de los estafadores.
Los investigadores han podido acreditar la participación de esta organización en al menos diez estafas, siete de ellas consumadas, ascendiendo el importe total defraudado a unos 175.000 €, frustrando otros tres ataques a empresas que hubieran supuesto pérdidas por un valor de 110.000 €
De esta forma la Policía Nacional contribuye a reducir el cada vez mayor impacto financiero y reputacional de las estafas tecnológicas contra las empresas.Agentes de la Policía Nacional han procedido a la detención de seis hombres de nacionalidad nigeriana, con edades comprendidas entre los 26 y los 51 años, que presuntamente perteneciente a una organización criminal radicada fundamentalmente en Málaga capital y con tentáculos en Cartagena dedicada a la comisión de estafas tecnológicas.
Las investigaciones se iniciaron con motivo de la denuncia de una conocida empresa de Cartagena que había sido víctima de una estafa cibernética en la modalidad conocida como Man in the middle o, dicho en español, ataque de intermediario. Se trata de un ciberataque en el que los criminales interceptan una conversación -normalmente a través de correo electrónico- entre dos empresas que mantienen relaciones comerciales, de prestación de servicios o cualquier otra que implique una obligación de pago de una frente a otra.
El modus operandi de la organización criminal consistía en acceder a un correo electrónico corporativo utilizando diferentes métodos para ello, como por ejemplo, enviando correos maliciosos a la empresa. Una vez que logra acceder, crean reglas de filtrado de correo electrónico como reenviar a otro correo, marcar como leído y/o archivar en spam o borrar, correos que tengan determinadas palabras como “factura”, “facturación”, “albarán” o similares. Tras hacerse con el control de los correos que son de su interés, tratan de localizar los que contengan una factura pendiente y la modifican utilizando para su cobro un número de cuenta bancaria que ha sido abierta con una identidad ficticia.
Hasta el momento se ha podido acreditar la presunta participación de esta organización criminal en, al menos, otras diez ciberestafas, ascendiendo la cuantía total defraudada a unos 175.000 €. Sus víctimas eran empresas repartidas de todo el territorio nacional: Cartagena, Málaga, Cáceres, Guadalajara, Alaquas (Valencia), Xirivella (Valencia), Salt (Girona), Lalín (Pontevedra), Ponferrada (León), Palma de Mallorca y Jerez de la Frontera.
La rápida intervención de los policías logró frustrar tres estafas dirigidas a otras tres empresas por importe global de 110.000 € y culminó con la detención de seis hombres (entre ellos, los principales responsables), cinco en Málaga y uno en Cartagena, a los que se les imputan los delitos de estafa, falsificación documental, blanqueo de capitales y organización criminal.
En los registros practicados, uno en Cartagena y dos en la ciudad de Málaga, se intervinieron entre otras cosas, diverso material informático, once teléfonos móviles y documentos falsos.
Tras ser puestos a disposición de los respectivos Juzgados de Instrucción (Málaga y Cartagena), se decretó el ingreso en prisión para dos de ellos debido al volumen y especialización en las estafas, sumado al riesgo de fuga.
Con la globalización, en las empresas españolas y de todo el mundo se ha generalizado el uso de las nuevas tecnologías, y en concreto de las comunicaciones electrónicas, por lo que la Policía Nacional aconseja a las empresas, inversión en formación de todo su personal, ya que esta estafa, aunque sofisticada, necesita del previo engaño de algún empleado o directivo, siendo por tanto el factor humano el eslabón más débil en ciberseguridad.
Algunos consejos básicos para prevenir este tipo de ataques, además de la formación continua del directivo y el empleado son:
– Uso mínimo en la red WPA2-AES con contraseñas robustas.
– Habilitar una red wifi diferente (clientes, invitados) con acceso restringido a la red corporativa y servicios de la empresa.
– Actualización de equipos y software (sistema operativo, navegador, antivirus, antimalware etc.)
– Si es posible habilitación del denominado factor de doble verificación, MFA.
– Accesos exclusivamente a sitios web seguros con certificado y comprobar que pertenece a esa entidad.
– No conectar a redes wifi abiertas y en caso de ser necesario a través de una VPN, Red Privada Virtual, si bien, no gratuitas porque se desconoce quien puede estar detrás de ellas y cual es la intención.
– Proteger la red LAN mediante el uso especifico de hardware de seguridad como, Firewalls o Mutm’s con PS/IDS (prevención y detección de intrusiones).
– No abrir enlaces de correo procedentes de fuentes desconocidas.
– Proteger la red corporativa mediante el uso de un certificado SSL.