hacker, cyber crime, security

Compliance en departamentos de compras y financiero; la mejor prevención para evitar estafas por medios informáticos

Comparte

El confinamiento, el teletrabajo, el mayor uso de medios telemáticos de pago y el aumento de uso de redes sociales, han originado un importante incremento del flujo de datos de las empresas y un aumento de las estafas por medios informáticos y suplantación de identidad.

Los expertos policiales coinciden en que el auge de estos delitos está ligado a su “alta rentabilidad” económica, al cada vez menor coste de los equipos necesarios para cometerlos y al reducido riesgo para sus autores.

La Estrategia Nacional contra el Crimen Organizado y la Delincuencia Grave 2019-2023, —el documento elaborado en febrero de 2019 por Interior para fija las líneas de actuación policial durante los próximos años con el fin de hacer frente a la nueva criminalidad— alerta sobre el alarmante incremento de la cibercriminalidad.

Los cálculos de los responsables de ciberdelitos de la Guardia Civil estiman ya un aumento de al menos un 70% de los fraudes en Internet aprovechando la crisis del coronavirus. Se trata de un cálculo basado en las “comunicaciones que a través de distintos canales —buzones de correo, foros, asociaciones empresariales— les llegan a los agentes especializados en ciberdelincuencia”.

1.- Suplantación de identidad y actividad delictiva.

¿Qué es la suplantación de identidad?

La suplantación de identidad consiste en hacerse pasar por otra persona para obtener un beneficio y/o causar un daño. Está tipificado como delito en el Código Penal.

Los fines para los que se realiza la suplantación de identidad pueden ser:

  • Contratar servicios de telefonía.
  • Obtener un crédito o un préstamo.
  • Realizar compras tanto en tiendas físicas como a través de tiendas online, etc.
  • Cometer otro delito, entre ellos cobran especial importancia las estafas con suplantación de personalidad por medios informáticos.

2.- Dos formas principales en las que se producen este tipo de delitos:

1.- “Man in the middle” (hombre en el medio)

Las organizaciones delictivas acceden a las cuentas de correo electrónico (ejemplo: entre una empresa y un proveedor), detectan que se va a producir un pago de dinero y se meten por el medio, suplantando la identidad de una de esas empresas. Es lo que se conoce como “man in the middle” (“hombre en el medio”).

A una de las empresas (pagador) le llega un “mail” en el que la otra parte (proveedor) le dice que ha cambiado el número de cuenta y que el ingreso debe realizarse en una cuenta bancaria diferente. El correo electrónico, el encabezado, el estilo, los logos, etc. son idénticos o muy parecidos, pero la cuenta bancaria de ingreso cambia. Durante un tiempo (unas horas, unos días) interceptan los correos con el proveedor real y lo suplantan, a fin de que de tiempo a realizar el pago en la cuenta bancaria fraudulenta.

2.- Fraude del CEO

Este tipo de fraude está proliferando y causa graves daños económico y de seguridad informática en las empresas. Existen muchas víctimas de este delito en España en el que se manejan cifras cuya media oscila entre los 3 y los 12 millones de euros.

El Banco de España ha dedicado en su web un apartado específico al llamado fraude del CEO, una práctica fraudulenta cada vez más habitual en las empresas y que puede generar, además de una brecha de seguridad, un problema financiero.

Los defraudadores realizan investigaciones cada vez más refinadas y sofisticadas para elegir tanto al ejecutivo al que se suplanta, como a la víctima, normalmente un empleado.

Este fraude tiene como objetivo engañar a un mando intermedio de una empresa u organismo público para que realice una transferencia desde la cuenta de la compañía o para que pague una factura falsa. Los delincuentes suplantan la identidad de un alto cargo de esa misma empresa u organismo o la de un proveedor habitual.

3.- ¿Qué técnicas utilizan los ciberdelincuentes?

  • Phishing: envío indiscriminado de correos electrónicos a empleados para tratar de “pescar” información sensible haciéndose pasar por una fuente reputada.
  • Spear phishing: supone un paso más con respecto al anterior, ya que, previamente, han conseguido información de los usuarios disponible en Internet (por ejemplo, en redes sociales) y dirigen correos electrónicos más personalizados.
  • Whaling: se trata de un phishing dirigido a los peces gordos (de ahí su nombre, whale = ballena). El ciberdelincuente ha hecho un estudio exhaustivo de la víctima y conoce bien cómo funciona la organización.
  • Ingeniería social: recrean situaciones que hacen que la estafa sea más fácil. Por ejemplo, ¿qué harías si recibes un correo de tu jefe pidiéndote que hagas una transferencia para cerrar una operación financiera confidencial y urgente? ¿Te arriesgarías a cuestionar esta solicitud? Saben que es un dilema y lo usan en su beneficio.

Los ciberdelincuentes capturan las cuentas de correo electrónico, lo que les permite perfeccionar el engaño, utilizando la misma firma, el logo de la empresa, incluso copian el lenguaje y estilo.

4- LA PREVENCIÓN ES CLAVE: Compliance en los departamentos de compras y financiero.

Hay que poner el foco en la necesidad de medidas preventivas y políticas de compliance en los departamentos de compras y financiero, ya que, está estrechamente  vinculado con la prevención de estas estafas por medios informáticos.

El Banco de España, la Asociación Española de Banca (AEB), Fuerzas y Cuerpos de Seguridad del Estado e Interpol, pautan medidas preventivas para evitar ser víctima de estas estafas por medios informáticos.

Se trata de medidas destinadas a los directivos y empleados de las empresas (grandes empresas y pymes) y de organismos públicos; en relación con protocolos y controles de seguridad informática, tratamiento de datos, sistemas de filtros, dobles autorizaciones para realizar pagos, medidas de seguridad en los contratos con terceros y sobre todo formación en el seno de las empresas a todos los niveles, para concienciar a directivos y equipos.

5.- Ejemplos de suplantaciones de identidad famosas.

Estafa de 100 millones de dólares a Facebook y Google. Un hombre lituano fue acusado de un ataque de suplantación de identidad a través de correos electrónicos contra Facebook y Google. Las empresas habían sido engañadas para transferir más de 100 millones de dólares a las cuentas bancarias del presunto estafador.

Caso del CEO de la empresa de seguridad Securitas. Fue víctima de un robo de identidad. Alguien accedió a sus datos personales y los utilizó para solicitar un préstamo a su nombre. Luego, presentó ante las autoridades una solicitud de quiebra.

Alberto de Mónaco. El príncipe de Mónaco también ha sido víctima de una suplantación de identidad por parte de una banda organizada que durante varios días han utilizado su identidad para robar a varios residentes en Mónaco. La estafa consistía en pedir dinero a través de mensajes vía correos electrónicos, SMS, videoconferencias y Whatsapps en nombre del príncipe.

En España, Secretaría de Estado: A principios de la crisis del coronavirus en España, una de las secretarías de Estado del Gobierno recibió un correo electrónico. En él, un conocido proveedor de material sanitario ofrecía toda clase de productos que en ese momento ya empezaban a escasear: mascarillas, guantes, Equipos de Protección Individual (EPI), batas médicas… La oferta incluía fotografías de cada uno de los productos, precios, opciones y plazos de entrega y de pago. Todo aparentemente correcto. Sin embargo, ante la agresiva competencia internacional que empezaba a haber por ese tipo de productos, un alto responsable de la secretaría del departamento puso el asunto en manos de la Policía Nacional. “En cuestión de días vimos que se trataba de un falso proveedor, había suplantado la identidad del verdadero y el servidor desde el que operaba estaba en Chile”, explican fuentes policiales. La compra nunca llegó a producirse por lo que no definitivamente no se consumó la estafa.

Además de estos famosos fraudes, en España están proliferando este tipo de estafas, en grandes empresas y en PYMES.

6.- ¿Qué hacer si mi empresa ha sido víctima de una de estas estafas?

1.- Contactar rápidamente con la entidad financiera para que pueda anular la transferencia, o iniciar la orden de retrocesión y comunicaciones cruzadas con el banco destinatario de los fondos, para notificar el fraude y activar los protocolos bancarios. En muchas ocasiones las entidades bancarias realizan periciales informáticas y, en su caso, activan sus pólizas de Seguro.

2.- Denuncia en la policía y el Juzgado de Instrucción, para el inicio inmediato de investigación y adopción de medidas urgentes. La celeridad con la que se denuncie es clave.

3.- En el ámbito interno de la empresa: hay que abrir una investigación interna,  verificar con el empleado cómo ha ocurrido el fraude, hacer un informe, guardar documentación acreditativa,  aislar el equipo del usuario, analizar la brecha de seguridad, guardar copia de seguridad de todas las comunicaciones fraudulentas. E incluso, levantar acta notarial del contenido de las comunicaciones fraudulentas, con identificación de IP del equipo informático.

4.- Realizar pericial informática, para identificar la brecha de seguridad y adoptar las medidas necesarias.


Comparte