Un empleado del departamento de finanzas de una prestigiosa multinacional en España, a quién llamaremos Miguel Garcia, recibe un mensaje de correo electrónico del que parece ser el correo corporativo del director ejecutivo de la compañía. El mensaje de correo advierte que la empresa está realizando una importante adquisición e instruye al destinatario financiero para que realice varios pagos relacionados con la transacción que es catalogada como confidencial. El correo electrónico también le informa a Miguel que un abogado externo de nombre Frank William, del bufete internacional M & A, continuaría brindándole instrucciones para aprobar los pagos y que deberá seguirlas al pie de la letra.
Más tarde ese día, Miguel recibe el mensaje de correo electrónico de Frank indicándole que debe hacer el primer pago inmediatamente. El empleado siguió las instrucciones y transfirió dinero de su subsidiario en Hungría. Durante los siguientes 19 días el abogado externo continua dando instrucciones al empleado quien termina realizando 14 transferencias bancarias al extranjero a cuentas en poder de terceros en países como Rusia, China y México, por un total $56,7 millones; hasta que 5 días más tarde, el Sr. Pablo Honores, CEO de la multinacional, recibe un correo electrónico de la oficina inteligencia de la Guardia Civil de España que le advierte que una gran cantidad de dinero tomado de la cuenta bancaria de su subsidiaria en Hungría puede haber sido transferido de manera fraudulenta.
Pablo inicia una investigación interna y descubre el Sr. Ángel Paciano, Director Financiero y Contralor de su empresa, autorizó las 14 transferencias, sin embargo la multinacional no había efectuado ningún tipo de gestión para realizar adquisiciones en ese momento. La investigación interna descubrió que los correos electrónicos y las instrucciones fueron enviados por estafadores, que afirmaron ser el Sr. Pablo Honores y Frank William de la oficina de Budapest de M & A. Los correos electrónicos supuestamente enviados por Frank William incluyeron su firma electrónica y los datos de M & A, pero fueron enviados desde un cuenta de correo electrónico que termina en @adviser.com. Los destinatarios de las transferencias electrónicas eran empresas desconocidas con quien la multinacional no tenía negocios.
Una empresa en movimiento
Así es como funciona la denominada estafa del CEO, término que proviene del inglés Business Email Compromise (BEC); es una estafa de correo electrónico sofisticada dirigida a compañías que trabajan con frecuencia con proveedores o empresas extranjeras y utilizan transferencias electrónicas como método regular para el envío de fondos en las que muchas veces, sin darnos cuenta, hay una persona interpuesta. A pesar de ello, resulta inverosímil admitir como compañías que realizan ingentes cantidades de trasferencias diarias con altos volúmenes de dinero, por lo general no dispongan de mecanismos de seguridad tan elementales como un antimalware o sistemas para cuidarse de los correos que les envían, ni medidas de precaución dirigidas a sus empleados que eventualmente evitarían el desfalco bancario en sus cuentas corporativas.
Cuidado con los intermediarios
Son diversas las modalidades que utiliza la ciberdelincuenica para ejecutar un fraude del CEO, quizá una de las más conocidas sea el Man in the middle (MITM), del inglés “Hombre en el medio”, un ataque que solo requiere que el hacker se posicione entre los 2 terminales que intentan comunicarse, interceptando los mensajes enviados y suplantando al menos a una de las partes. En una de sus variantes se hace uso de un router Wi-Fi para interceptar las comunicaciones de los interlocutores.
Otra forma de ataque del CEO, se presenta a través del cambio en la cuenta de cargo de una factura de un proveedor de confianza para redirigirla a la cuenta bancaria de un tercero denominado “mula”, algo similar a lo acontecido en febrero del presente año en la ciudad de Valencia donde fueron detenidos seis “muleros” por estafar más de 155.000 euros. De igual forma sucede con los detalles de la nómina de un empleado que pueden ser cambiados para redirigir falsamente sus cheques de pago.
La reputación empresarial
Queda claro que antes de cometer un delito como este, el autor criminal tiene que conocer bien la compañía a la que pretende atacar, incluso más que los propios empleados. Deberá entender sobre documentos como nóminas, facturas, cuentas, órdenes de compra, a quiénes vende la empresa y a quiénes no; y es por ello que sus procedimientos se soportan principalmente en la búsqueda de datos públicos que se encuentran disponibles en redes sociales, los sitios web de la compañía, directorios, bases de datos, etc. Y están dirigidos a ejecutivos y empleados que trabajan en finanzas, contabilidad o recursos humanos.
Defraudados por sus víctimas
Para castigar este ilícito, debe existir el ánimo de lucro por parte del atacante, quien valiéndose de alguna manipulación informática o por los artificios que sean, consigue una transferencia no consentida de cualquier activo patrimonial en perjuicio de otro. Estos términos se encuentran en el texto del artículo 248.2 del Código Penal Español que tipifica la estafa informática. Las penas pueden ir hasta los 6 años de cárcel y multa de seis a doce meses cuando el valor de la defraudación supere los 50.000 euros o afecte a un elevado número de personas. Una eventual denuncia de estos hechos activa el aparato público, y de ser necesario se requerirá la cooperación internacional considerando la multiplicidad de destinos donde se producen los resultados de la conducta lesiva.
Si bien nos encontramos frente a un ciberdelito que se puede evitar con una valoración a nivel de riesgos y ciberseguridad de la empresa, es curioso que las denuncias que se efectúan muchas veces se realicen por un tema de responsabilidad corporativa, dado que no se conoce si el responsable es el trabajador o se trató certeramente de un ataque. Mientras se mantenga el foco en el interés de que alguien devuelva el dinero, la probabilidad de que estos hechos se comentan continuará en aumento. Es importante mencionar, que esta forma de actuar puede conllevar a que el pánico se apodere del trabajador, al punto de que termine por borrar la evidencia electrónica más importante como pueden ser los correos.
Redoblar la vigilancia de la compañía
Como hemos mencionado existen herramientas tanto para evitar como para enfrentar este tipo de fraudes y resulta necesario poner en práctica algunas de estas:
En primer lugar, una empresa ya sea una multinacional o una PYME, jamás debe escatimar una inversión en ciberseguridad. La precaución tiene un costo, debemos reconocer que un departamento de informática quizá no sea un eslabón corporativo para generar dinero, pero implementados de manera eficiente con empleados debidamente especializados, generará que los demás departamentos funcionen de forma apropiada y segura, lo que eventualmente contribuirá a que se produzcan más dividendos y todas las áreas se vean beneficiadas.
Por otro lado, no solo basta con manejar un nivel de auditoría interna en infraestructura; por el contrario, un trabajo de auditoría externa a nivel de identidad digital que considere investigación en fuentes abiertas puede darnos luces de aquello que los ciberdelincuentes ven sobre nuestra reputación online que nosotros no.
Finalmente, no solo basta con concientizar a los empleados en protocolos de gestión de cobros y facturación, sino formar aquellos con menor conocimiento de la informática y acerca de las implicancias legales y administrativas que puede producir un ciberfraude, esto rige también en el caso de los directivos. Y como dice la frase, “invierte hoy para que mañana no tengas que preocuparte”.
Autor: Sergio Daniel Huaman Farro