El método que ha comenzado a afectar a las entidades públicas intercepta correos electrónicos entre dos partes y aprovecha los datos de las facturas para desviar pagos posteriores.
El ciberfraude se llama Man in the Middle (hombre de en medio) y hasta ahora se limitaba a un bulo en el que las víctimas eran particulares, sobre todo empresas, cuyas cuentas de correo electrónico eran suplantadas sin dejar sospecha alguna. Ahora, el objetivo han pasado a ser las instituciones, que también mueven cantidades millonarias a través de transferencias bancarias, especialmente en el pago de la ejecución de las obras.
Es el caso reciente de Mérida, cuyo pago este verano de algo más de 50.000 euros a una empresa proveedora como contraprestación por sus servicios nunca llegó a destino. El modus operandi no cambia: interceptar correos electrónicos entre la empresa y, en este caso, el correo oficial donde ambos intercambian información. Se trata de interceptar las comunicaciones entre las partes y hacerse con las facturas, por lo que una vez obtenidas lo que hacen es modificar el número de cuenta de destino, conservándose el resto de datos, describe el portavoz de la Policía Nacional de Extremadura, Raúl González.
No se levantan sospechas. El destinatario, en este caso el trabajador municipal encargado de ejecutar la transferencia, no nota la diferencia en el cambio de numeración. Se trata de un clon idéntico de la factura que interceptó los correos electrónicos, salvo los datos de los números de cuentas bancarias. La entidad financiera tampoco lo detecta. Cuando se ejecuta el pago, el dinero se desvía directamente a la cuenta del estafador.
En estos casos, el proveedor suele trabajar habitualmente con el Ayuntamiento, por lo que la relación de confianza es completa. Ya se han registrado los datos fiscales, la inscripción en los registros municipales como proveedor, el número de cuenta bancaria) y las certificaciones correspondientes. Con todo en orden, sólo queda el pago mediante transferencia bancaria, ordenado por la Delegación de Hacienda. Los defraudadores se apropian de las comunicaciones de Internet y proceden a atacar, esquivando las medidas de protección de los implicados, en este caso el propio Ayuntamiento. Tendría barreras de ciberseguridad, aunque se está probando su eficacia, pero ciertamente se han desbloqueado, señalan fuentes de la investigación.
El ayuntamiento afectado de Eméritus presentó la denuncia el 10 de agosto. El servicio de la obra lo hizo la empresa, hicimos el pago, el resto es un asunto que está en manos de la investigación de Policía y Justicia porque no tenemos Más datos”, advierte el alcalde de Mérida, Antonio Rodríguez Osuna.
Por el momento, la resolución del caso ha avanzado muy poco porque es una trama complicada para poder identificar a sus autores. El Ayuntamiento, además de presentar la denuncia, ha instado a la entidad financiera a devolver el dinero faltante.
¿Y cómo se interceptan los correos electrónicos? Los delincuentes lo hacen a través de un enrutador para acceder a la puerta de enlace de la red, haciéndose pasar por la dirección de destino de la víctima a través de direcciones IP. En algunos casos, realizan una copia a través de redes Wi-Fi o de una red pública, que son más susceptibles a ataques, o incluso crean una red con el mismo nombre o muy similar a la red legítima para engañar a los usuarios. , quienes no se dan cuenta de que es falso y se conectan, abriendo así las puertas al hacker para clonar todos los documentos.
El abogado Fernando Cumbres ha defendido a varios clientes estafados por este tipo de operaciones en las que el dinero desaparece de forma inmediata. O hacen transferencias rápidas a terceros países para no dejar rastros de los movimientos o utilizan a personas en la calle, con problemas económicos, y les ofrecen el 10% de las cantidades que les hacen retirar en cajeros sin que ellos lo sepan. Que estan haciendo ellos.
¿Y la responsabilidad del banco? Como señala Cumbres, en muchas ocasiones los bancos actúan correctamente y bloquean en la cuenta los importes de este tipo de transferencias, con lo que el perjudicado puede recuperar el dinero transferido. Sin embargo, en otras ocasiones, los bancos incumplen las obligaciones que les impone la Ley 10/2010 y dejan primero recibir dichas cantidades para luego desaparecer, y se les ordena devolver al perjudicado las cantidades transferidas que no pudieron recuperarse. .