TECNOLOGÍA

Las estafas por correo corporativo a empleados, engañados a hacer pagos virtuales a cuentas falsas de supuestos proveedores, es un terreno aún «desconocido» para la policía pero supone un crimen «globalizado y en aumento», dijo el director de Cibercrimen de la Organización Internacional de Policía Criminal (Interpol), Craig Jones. Aunque relativamente conocido entre las fuerzas de seguridad, se trata de una modalidad que recaudó US$ 1.000 millones solo el año pasado.

Jones explicó que es ataque que requiere un estudio previo del «terreno». «Es una inversión para ellos, por lo que le dedican meses» y analizan la cultura nacional y corporativa de realización de pagos. «No es lo mismo acudir en España a un banco para una transferencia, que usar el ordenador en Holanda desde la oficina de la empresa».

Una vez entienden la frecuencia, el modelo e identifican los proveedores habituales y los empleados encargados de hacer los pagos, tanto en pymes como en multinacionales, recurren a técnicas informáticas para atacar. «Lo pueden hacer de una manera técnica: acceden a la red de una compañía, cambian los ajustes del correo para poder interceptarlos antes de que lleguen al destinatario, y modifican el número de cuenta del beneficiario para que el empleado de turno haga la transferencia a la cuenta errónea, a la de los criminales», explica.

Los trabajadores también pueden ser víctimas de lo que se conoce como ingeniería social, la influencia psicológica en su actitud: «Reciben un correo desde un email corporativo, creyendo que es de su jefe, que exige hacer un pago inmediato, poniendo urgencia para que la víctima sienta presión de pagar, y caen en la trampa».

Esta práctica se conoce como el fraude del CEO o los ataques BEC (Business Email Compromise, en inglés) y los policías de más de setenta países se han unido en una campaña internacional de concienciación, alarmados por el aumento de denuncias de diferentes empresas que han sido víctimas de este tipo de crimen.

Las víctimas pueden ser pymes, con 5 ó 10 empleados, sin grandes movimientos financieros pero los criminales están enfocados especialmente en multinacionales, donde se dirigen a los trabajadores que tienen la última decisión a la hora de hacer pagos.

La Interpol y la agencia europea de coordinación policial (Europol) lanzaron la campaña #BECareful, durante una conferencia internacional en La Haya sobre el aumento de diferentes tipos de cibercriminalidad, desde fraudes financieros, hasta pornografía infantil, terrorismo y crimen organizado.

«Si recibes un correo que pide hacer una transferencia, debes tomarte un minuto para pensar que quizás haya algo raro antes de hacer la gestión», advierte Jones.

La campaña ofrece información en redes sociales sobre cómo funcionan los criminales dedicados a este tipo de fraudes. «¿Qué haría si un proveedor conocido le pide que envíe todos los pagos futuros a una nueva cuenta en un banco diferente? ¿Haría el pago de inmediato y cambiaría los datos bancarios, o primero verificaría la solicitud a través de un canal diferente?».

Interpol todavía no entiende qué tienen en común los países más afectados, como EE.UU. o Singapur: «¿Será la infraestructura? ¿El modelo de negocio? ¿Tendrán los criminales un conocimiento claro de sus objetivos? Necesitamos esa información para poder dar respuesta, y hace falta que la gente denuncie los fraudes», finalizó.