Imagina que eres un autónomo que, cada mes, hace determinadas actividades y servicios y manda por correo electrónico sus facturas a sus clientes, incluyendo todos los datos personales y bancarios.
Tus clientes reciben esos archivos en formato PDF, pero no exactamente tal y como se los habías enviado. De hecho, en esos documentos todo se muestra exactamente igual a como lo dejaste... a excepción de la entidad bancaria y el número de cuenta. Los datos bancarios que aparecen son los de otra persona que se lucrará con tu trabajo.
Esto, que puede parecer 'ciencia ficción' o un 'cuento de terror para freelances' está ocurriendo realmente y le está pasando a unas cuantas pymes españolas.
El resultado final es que el autónomo se queda sin cobrar su trabajo y la empresa se queda sin el dinero, pensando que ha pagado realmente a su proveedor. Ambas partes han sido estafadas e incluso la primera ha sido víctima de una suplantación de su identidad.
Por el camino, alguien ha 'metido la zarpa'. Los ciberdelincuentes son muy sutiles y estos cambios son apenas imperceptibles, ya que se hacen sobre el propio PDF enviado y usando la misma fuente tipográfica para añadir la nueva cuenta bancaria.
Pero, ¿Cómo lo hacen? Los actores de amenazas usan lo que se conoce como BEC (Business Email Compromise) que supone el compromiso de uno o varias cuentas de correo corporativas para poder acceder a otras herramientas o redes de una compañía. Basta con tener el control de la cuenta de un empleado para que los cibermalos hagan de las suyas y campen a sus anchas.
Este acceso no autorizado se puede conseguir de múltiples maneras, que van desde el phishing, el malware o usando la ingeniería social. Un ataque de relleno de credenciales, donde se usan usuarios y contraseñas que se han filtrado en brechas de datos, también puede abrir las puertas si una persona ha compartido su clave entre un servicio comprometido y otro de su compañía, como el correo de empresa.
Los actores de amenazas se aprovechan de cadenas de mensajes, 'secuestrando una conversación ya en curso sobre la transacción. “Dado que el mensaje del atacante forma parte de un hilo que la víctima objetivo cree razonablemente en su veracidad, su mensaje tiene mayor credibilidad. Así, un simple cambio en el número de una cuenta bancaria parece más verosímil”, apuntan desde Proofpoint.
“Por su propia naturaleza, los ataques de secuestro de hilos son muy difíciles, si no imposibles, de identificar por los usuarios, siendo un vector de amenaza en el que las contramedidas tecnológicas son especialmente necesarias y útiles”, añaden.
Además, esta compañía subraya que “el hecho de que la acción maliciosa se oculte en un PDF adjunto en apariencia inofensivo ralentiza la detección automática y puede confundir a las herramientas tradicionales de seguridad del correo electrónico. El nombre del proveedor es real. El nombre del remitente es real. El banco es real. Es una factura que está diseñada específicamente para parecer legítima, como una de tantas que reciben empresas de todo el mundo todos los días”.
Por su parte, Santiago Anaya Godoy, Global Chief Technology Officer de Cipher, división de ciberseguridad del Grupo Prosegur, explica que esta técnica es denominada 'estafa de transferencia bancaria fraudulenta' y ha sido perpetrada por varios grupos de ciberdelincuencia a nivel mundial.
Aunque en Escudo Digital pensábamos que se trataba de una amenaza relativamente reciente, parece que es mucho más antigua de lo que nos imaginábamos.
"Las primeras instancias documentadas de BEC se observaron alrededor de 2013, pero fue en 2015 cuando el FBI emitió una alerta sobre el aumento significativo de estos incidentes. Los ataques de BEC han evolucionado desde entonces, con ciertos actores especializándose en estas operaciones", comenta Anaya.
Ir a por los más pequeños para 'pescar' a los grandes
Proofpoint señala que estos ataques tienen éxito porque los emails son “engañosamente similares a mensajes legítimos, solicitando además a las víctimas que realicen tareas que entran dentro de sus obligaciones habituales. Esta misma simplicidad permite que los emails pasen desapercibidos para las soluciones de seguridad tradicionales que están diseñadas para detectar amenazas que explotan la tecnología”.
Además, Proofpoint incide en que “la cadena de suministro y el ecosistema de partners se ha convertido en unos de los principales vectores de amenazas por parte de ciberdelincuentes”.
A menudo los piratas informáticos dirigirían sus ataques BEC, como el fraude de facturas a pequeñas y medianas empresas o autónomos, porque su ciberseguridad suele ser menos robusta y, "a partir de ahí, pueden aprovecharse de las relaciones de confianza que tienen estos proveedores con partners de mayor tamaño”.
Quiénes están detrás de este fraude
Si has sido víctima de esta estafa bien porque eres freelance o bien porque tu empresa a hecho el pago a quien no debía, quizás te interesará saber quién o quiénes estarían detrás. Desde Cipher identifican varios posibles autores:
- FIN7: Conocido por apuntar a empresas a través de sofisticadas técnicas de spear-phishing y malware.
- Lazarus Group: Asociado con numerosos ataques cibernéticos financieros y operaciones de espionaje.
- APT38: Una subdivisión del Lazarus Group especializada en robos cibernéticos a bancos.
- Carbanak (o Cobalt Group): Grupo que ha atacado principalmente a instituciones financieras usando tácticas de spear-phishing.
- BEC Scammers: No es un grupo específico, sino varios actores que realizan compromiso de correo electrónico empresarial.
- Gold Kingswood: Grupo de amenazas asociado con operaciones de BEC y estafas de tipo "scam de CEO".
- SilverTerrier: Colectivo de actores de amenazas nigerianos conocidos por sus estafas de BEC.
- London Blue: Red de cibercriminales que se enfoca en BEC y ha creado listas de objetivos en todo el mundo.
- Scattered Canary: Grupo versátil que ha realizado desde estafas de loterías hasta fraudes de cambio de factura.
- Silent Starling: Colectivo de cibercriminales que ha estado involucrado en ataques de vishing y compromiso de correo electrónico empresarial para interceptar transacciones financieras.
Cómo evitar la estafa de la transferencia bancaria fraudulenta
En principio hay varias maneras de evitar que esta estafa ocurra. La primera de ellas es que la persona del departamento de administración o finanzas de la empresa destinataria que se encarga de hacer los pagos revise la cuenta minuciosamente. Si se trata de un cliente que cada mes manda estas facturas religiosamente, seguramente le choque que la cuenta bancaria sea otra completamente distinta.
Desde Proofpoint hacen una serie de recomendaciones técnicas para minimizar los riesgos del factor humano sobre estas amenazas, como autenticar correos de salida, permitiendo que proveedores y partners verifiquen email legítimo; verificar la autenticidad de correos entrantes para prevenir la suplantación de dominio; requerir transmisión cifrada, protegiendo contra la interceptación de emails; activar normas para la prevención de pérdida de datos, ya que logran detectar una comunicación anómala entre distintas partes; y, por último, priorizar la concienciación sobre ciberseguridad con programas específicos sobre protección del email y otros adaptados a la cadena de suministro.
Por otro lado, el banco también tiene mucho que decir al respecto. ¿Es factible permitir un pago a un número de cuenta cuando la persona que aparece no es la titular de la misma? Es posible realizar la transacción, pero no deja de ser una mala praxis por parte de la entidad.
“Si un ataque de transferencia bancaria fraudulenta ha resultado con éxito, debe comenzarse un proceso de recuperación, pidiendo que se ponga en contacto con la entidad financiera a la que se envió la transferencia. Acto seguido, hay que contactar con la policía y denunciar el ataque. Posiblemente, habrá que notificarlo a aseguradoras y, si procede, a accionistas de la empresa, porque si la información sensible ha acabado en manos de ciberdelincuentes, se deberán mitigar las secuelas”, concluyen fuentes de Proofpoint.
Cómo anular una transferencia bancaria con denuncia
Las transferencias bancarias son un medio de pago ampliamente utilizado debido a su rapidez y facilidad. Sin embargo, también representan un terreno fértil para las estafas.
Desde transferencias a cuentas fraudulentas hasta engaños diseñados para suplantar identidades, este problema afecta a miles de personas. Si te has encontrado en esta situación, aquí te explicamos cómo actuar y cómo protegerte de ello. ¡Veámoslo!
Cuando realizas una transferencia bancaria y sospechas que has sido víctima de una estafa, el tiempo es esencial, por lo que es recomendable seguir los siguientes pasos:
Contacta inmediatamente a tu banco
Proporciona todos los detalles de la transferencia, incluyendo el número de cuenta de destino, cantidad y fecha. Solicita que bloqueen o reviertan la operación.
Presenta una denuncia ante las autoridades
Dirígete a la policía para denunciar el fraude. Asegúrate de incluir toda la información posible sobre la transacción. Esta denuncia es crucial para respaldar tu solicitud de anulación al banco.
Entrega la denuncia al banco
La mayoría de las entidades financieras requieren una copia de la denuncia para proceder con la investigación interna. Esto aumenta las posibilidades de detener o recuperar el dinero transferido.
Consulta con un abogado
Dependiendo de la situación, podrías necesitar asesoramiento legal para recuperar tu dinero o emprender acciones contra los responsables.
Aunque anular una transferencia bancaria con denuncia no siempre es posible, actuar rápido y tener la documentación adecuada puede marcar la diferencia. La clave está en no perder tiempo y actuar de manera sistemática para aumentar las probabilidades de éxito.
Cómo recuperar el dinero estafado por transferencia fraudulenta
Recuperar el dinero estafado por una transferencia fraudulenta puede ser un proceso complicado, pero no imposible. Estas son algunas estrategias que pueden ayudarte:
Colaboración con el banco
Una vez presentada la denuncia, el banco iniciará una investigación. Si se determina que la cuenta receptora pertenece a una red fraudulenta, es posible que se congelen los fondos.
Intervención de las autoridades
En muchos casos, las autoridades pueden rastrear las transacciones y ubicar a los responsables. Aunque el proceso puede tomar tiempo, no lo descartes.
Seguro contra fraudes
Algunos bancos y servicios de pago ofrecen seguros que cubren estafas. Verifica si tu entidad cuenta con este beneficio.
Mediación o demanda legal
Si la transferencia fue realizada a una cuenta local identificable, un abogado puede ayudarte a presentar una reclamación legal para recuperar los fondos.
Aunque no hay garantías, ser persistente y seguir todos los canales disponibles aumenta las posibilidades de recuperar tu dinero.
Cuáles son los peligros de pagar por transferencia bancaria
Aunque son cómodas, hay ciertos peligros de pagar por transferencia bancaria, especialmente si se usan sin precaución:
- Falta de protección al consumidor: a diferencia de las tarjetas de crédito, las transferencias no ofrecen reembolsos automáticos en caso de fraude.
- Dificultad para rastrear fondos: una vez completada la transferencia, rastrear y recuperar el dinero puede ser muy complicado, especialmente si ha sido transferido a una cuenta en el extranjero.
- Vulnerabilidad ante engaños: los estafadores pueden crear situaciones urgentes para presionarte a realizar transferencias sin verificar los datos del destinatario.
- Falsas apariencias de legitimidad: muchos fraudes incluyen páginas web o documentos falsificados que parecen reales, aumentando las probabilidades de caer en la trampa.
Por estas razones, es crucial ser cauteloso al usar transferencias bancarias como método de pago. Siempre debes verificar la identidad del receptor y, de ser posible, utilizar métodos de pago que ofrezcan mayor protección.
Cómo evitar la estafa de la transferencia bancaria fraudulenta
Para evitar estafas relacionadas con transferencias bancarias, es fundamental tomar algunas de estas precauciones:
- Verifica siempre la identidad del destinatario antes de realizar una transferencia, especialmente en transacciones con desconocidos o empresas no verificadas.
- No respondas a mensajes o correos electrónicos que soliciten transferencias urgentes sin comprobar su autenticidad.
- Usa métodos de pago más seguros cuando sea posible, como tarjetas de crédito, que ofrecen mayor protección contra fraudes.
- Activa las notificaciones de tu banco para monitorear movimientos en tiempo real.
- Evita compartir datos sensibles, como contraseñas o códigos, por teléfono o en enlaces sospechosos.
Las transferencias fraudulentas son una amenaza real, pero con información y acción rápida, puedes minimizar los riesgos y aumentar las probabilidades de recuperar tu dinero.
Desde anular una transferencia bancaria con denuncia hasta conocer los peligros de este método de pago, cada paso cuenta para protegerte de los estafadores.
Si te han estafado con una transferencia bancaria, recuerda actuar de inmediato, denunciar y buscar asesoría legal. La prevención también es clave: verifica siempre las transacciones y utiliza, en la medida de lo posible, métodos de pago más seguros.