Precaución ante posibles fraudes interceptando correos de facturas de proveedores o clientes

La ingeniería social consiste en la utilización de diversas técnicas de manipulación psicológica a través de las cuales se consigue la revelación de información confidencial o alguna acción que beneficie al hacker, según la cantidad de comunicaciones que utiliza este para conseguir su objetivo las definiremos como:

• Hunting: basta con una sola comunicación.
• Farming: con más de una comunicación.

Cada vez son más usuales en nuestros Juzgados los fraudes a través de ingeniería social, desviando los pagos entre empresas o pagos entre cliente y empresa, donde el hacker intercepta un email con facturas y modifica los datos de dicho email. En concreto se modifica el número de cuenta con el objetivo de que el dinero acabe en la cuenta bancaria que el hacker tiene bajo su control.

– Empresa: Envía a su cliente o proveedor un email con la factura y con el detalle del número de cuenta al que tienen que hacerle el pago.

– Hacker: Intercepta a través del correo electrónico de la empresa emisora o receptora el email con la factura y el número de cuenta. Tras ello creará una dirección de email con alguna diferencia sutil desde donde enviará el email (p.e. contabilidad@empresa.com por contabillidad@empresa.com), y en dicho email detallará un número de cuenta con los datos bancarios de la cuenta a la que el hacker tiene acceso.   

– Hacker: Envía correo con los nuevos datos al cliente final para que proceda al pago, recibiendo el hacker el dinero en su cuenta. Dinero que rápidamente será transferido de una cuenta puente a otra en diferentes países y continentes, siendo imposible localizar la cuenta final y titular de ella.

(Las cuentas puentes normalmente son cuentas bancarias creadas mediante usurpación de identidad de terceros y siempre operando a través de banca on-line)

Cómo prevenir estos fraudes

Para evitar situaciones de esta envergadura debemos prestar especial atención en el detalle y contenido de las comunicaciones y por supuesto debemos reforzar la seguridad en los sistemas de comunicación en la empresa, para ello resaltaremos algunas recomendaciones al respecto:

• Evitar operar con el correo de empresa a través de redes wifi no fiables.
• Tener actualizadas con su última versión todas las herramientas instaladas.
• Contar con aplicaciones antivirus actualizadas en los sistemas de la empresa.
• Implantar sistema de autenticación de múltiples factores o un PIN.
• Implantar protocolos de seguridad.
• Implantar sistemas de control de acceso e identidad.
• Securizar el servidor del correo.
• Incluir el detalle de número de cuenta en la propia factura protegiendo dichos documentos con clave.
• Reconfirmar la información del destinatario para asegurarse de que le está enviando su dinero a la persona correcta antes de enviar un pago.
• Comprobación doble de los datos bancarios a partir de una cantidad determinada.
• Verificar datos bancarios por otro medio de comunicación.
• Registro de datos bancarios de clientes o proveedores en la banca online de la cuenta de pagos de la empresa
• Comprobar y verificar el remitente y destinatario.
• Analizar la estética del correo.
• Ante solicitudes que requieran la modificación de datos bancarios, se debe verificar dicha solicitud por un canal de comunicación alternativo y confiable.
• No hacer clic en enlaces de correos electrónicos que no transmitan confianza para proceder al abono de la factura.
• Llevar a cabo acciones de formación y concienciación en ciberseguridad en nuestras empresas.
• Siempre se debe tomar un minuto antes de actuar para verificar previo a ejecutar.
• Contratación de póliza de ciber riesgos.

Con estas recomendaciones reforzaremos la seguridad en nuestra organización evitando así sufrir situaciones de fraude o al menos dificultar labor delictiva del hacker.

La gran mayoría de nuestras empresas utilizan habitualmente el correo electrónico como herramienta de trabajo.  Su utilización diaria vuelve a esta herramienta terriblemente peligrosa, ya que procedemos a realizar tareas a través de ella de forma automática y mecánica, lo que puede provocar infecciones por malware y ser víctimas de un fraude.

Cuando se sufre un incidente de este tipo se debe denunciar lo antes posible ante las Fuerzas y Cuerpos de Seguridad del Estado o Guardia Civil, siendo de gran ayuda las periciales informáticas para acreditar quien es el responsable de la brecha de seguridad. También podremos notificar el incidente ante el Instituto Nacional de Ciberseguridad (INCIBE).

En HispaColex Bufete Jurídico estamos a su disposición y, para ello, contamos con un equipo de letrados especializados en Derecho Penal, quienes resolverán cualquier duda o  consulta que surja sobre ésta y otras materias de Derecho Penal.

Otras publicaciones de HispaColex relacionadas:

• Publicada la Ley 2/2023, de 20 de febrero, que obliga a las empresas a tener un canal de denuncias interno
• El delito contra la Hacienda Pública: « La delgada línea entre la defraudación tributaria y el delito fiscal »
• Análisis de la Prisión Permanente Revisable

  Rocío Fernández Vílchez - HispaColex

Si tiene dudas sobre como aplicar este artículo a su caso, puede realizarnos una consulta a través de nuestro formulario