La dinámica delictiva que se está extendiendo es la suplantación, por parte de las organizaciones criminales, de responsables públicos de contratos específicos, para lo cual desarrollan un engaño a través de correos electrónicos basado en datos precisos y pormenorizados de contrataciones reales.
Aunque el aumento detectado en las últimas semanas afectan especialmente a organismos públicos, los fraudes afectan, además, a todo tipo de empresas, entidades, clubes de fútbol o autónomos, entre otros.
La Policía Nacional alerta sobre un incremento de intentos de estafas a las Administraciones Públicas y, de manera particular, a la Administración General del Estado. Concretamente, se ha comprobado que en las últimas semanas se ha producido un incremento de intentos de fraudes al CEO (Chief Executive Officer) y, especialmente, de fraudes BEC (Business Email Compromise).
Los investigadores de este tipo de delitos están observando un aumento de los casos en los que, de una forma u otra, un organismo oficial aparece involucrado en alguna tentativa de este tipo de fraude, ya sea como víctima o como parte involuntaria del engaño por haber sido suplantado. El mayor incremento se está dando en los fraudes BEC, en el que el “cebo” empleado es un cambio imprevisto en la cuenta bancaria de pago a proveedores.
En el caso de las Administraciones Públicas, las organizaciones criminales defraudadoras pueden obtener, vía online y sin rastro alguno, información pormenorizada sobre contratos establecidos por la Administración Pública y los altos cargos públicos responsables de su tramitación. El uso generalizado en la Administración General del Estado del Punto General de Entrada de Facturas Electrónicas de la A.G.E., así como el control exhaustivo que se realizada sobre el pago a proveedores, hace más difícil que esta administración sea víctima de este tipo de fraudes, en el sentido de la realización de un pago a un proveedor suplantado.
Se considera, en base a las tentativas de fraudes reportadas a la Policía Nacional por diferentes organismos de la Administración Pública, que la dinámica delictiva que se está extendiendo es la suplantación por las organizaciones criminales de responsables públicos de contratos específicos. Para ellos, los ciberdelincuentes desarrollan un engaño a través de correos electrónicos basado en datos precisos y pormenorizados de contrataciones reales, enfocándose en las empresas proveedoras como víctimas, tanto en la modalidad de pagos fraudulentos a un organismo público suplantado, como pagos fraudulentos entre contratista y subcontratista.
BEC, el tipo de intento de fraude que ha aumentado recientemente
En los casos de fraudes BEC, en el escenario aparecen pequeñas empresas o personas físicas que, ya sea de forma regular o de forma ocasional, participan en una operación de compraventa o de prestación de servicios. Los términos de la transacción se negocian entre las partes legítimas mediante correos electrónicos fundamentalmente y, en algunos casos, también mediante aplicaciones de mensajería instantánea.
En este tipo de fraudes, se consigue el acceso ilegítimo a una o a ambas cuentas de correo implicadas y se obtiene información sobre los pagos esperados, fechas, cantidades, personas implicadas, mercancía o servicios con los que se comercia y estilo de lenguaje utilizado, entre otros.
Con esta información, la organización criminal defraudadora normalmente registrará una dirección de correo con un aspecto visual muy similar al de la dirección auténtica utilizada por las partes legítimas para suplantar la identidad de una de ellas, normalmente la del vendedor o proveedor del servicio. Posteriormente solicitaban un adeudo económico pendiente en una cuenta bancaria controlada por la organización criminal, argumentando con cualquier excusa que se ha producido un cambio en la cuenta bancaria habitual donde se venían recibiendo los pagos legítimos con anterioridad.
Los fraudes afectan a todo tipo de entidades, empresas de todos los sectores y tamaños, clubes de fútbol, autónomos, inmobiliarias, productoras de cine y teatro, y, también recientemente, a organismos públicos.
CEO, el fraude mediante el que se suplanta a un alto directivo
Los fraudes al CEO (Chief Executive Officer) tienen en común a los fraudes BEC (Business Email Compromise) la suplantación de la identidad de una persona con capacidad para ordenar o solicitar pagos a otra parte implicada en una transacción económica a fin de conseguir un trasvase de fondos a una cuenta bancaria controlada por el defraudador.
En ambos casos es necesario disponer de información sobre la víctima y su entorno para construir un relato con suficientes datos objetivos y ciertos que permitan generar en la víctima la creencia de que está tratando con la persona que está siendo suplantada.
En los casos de fraudes al CEO, la persona suplantada es un alto directivo de la empresa. La víctima, además de la propia empresa, que será la que en última instancia sufra el perjuicio patrimonial, es un empleado del departamento de finanzas autorizado para realizar pagos a entidades externas. En este tipo de fraudes, el escenario ideado para propiciar la transferencia de dinero hacia la cuenta del defraudador es el de una “operación estratégica” de la máxima importancia para la viabilidad de la compañía.
Se crea un entorno cerrado en el que sólo tienen cabida el defraudador y su interlocutor dentro de la empresa, insistiendo desde los primeros mensajes en la importancia de no compartir la información fuera de ese círculo exclusivo que forman el supuesto directivo y su empleado. Se insiste en mantener las comunicaciones restringidas al ámbito del correo electrónico al objeto de evitar que el empleado identifique que la voz que se escucha al otro lado del teléfono no es la del directivo real con el que cree estar tratando.
Se solicita información sobre los saldos y liquidez de la empresa, dado que esta información no suele estar al alcance de personas ajenas a la compañía. Al objeto de dar mayor verosimilitud a la falacia se hacen alusiones a entidades como la CNMV, que supuestamente estaría respaldando la operación, y se solicitarán documentos firmados por el directivo suplantado, que servirán para falsificar su firma y plasmarla en documentos falsos aportados por el defraudador para reforzar la idea de que es el auténtico CEO de la empresa el que está detrás de la operación.
Una vez se consigue doblegar la voluntad de la víctima, se suceden continuas solicitudes de transferencias de fondos que sólo finalizarán cuando aquella decida que se ha sobrepasado el límite de lo razonable. En ningún caso el defraudador se dará por satisfecho con lo conseguido. El engaño continuará hasta que la víctima lo pare.
Extremar las precauciones y avisar a la Policía Nacional
Para evitar que estos fraudes lleguen a cometerse, resulta necesario que tanto los responsables públicos de los departamentos de contratación como las empresas adjudicatarias y subcontratadas de contratos públicos extremen sus precauciones. La detección de cualquier tentativa de estos tipos de fraudes debe ser puesta en conocimiento, a la mayor brevedad, de la Policía Nacional para proceder a la investigación de los hechos ocurridos y el descubrimiento de las organizaciones cibercriminales dedicadas a esta modalidad delictiva.