La Jefatura Superior de Policía de La Rioja ha identificado al autor de un presunto delito de estafa por un importe de 230.000 euros en la ciudad de Sevilla y cuya víctima es una empresa riojana. No se ha llegado a consumar esta estafa porque se produjo el bloqueo inminente de la cuenta bancaria de la víctima.
Gracias a la rápida actuación del Grupo de Delitos Tecnológicos de la Policía Judicial de esta Jefatura y de las víctimas y órganos judiciales implicados, se consiguió el bloqueo de la cuenta bancaria a la que el estafador había conseguido desviar esta cantidad de dinero a través de la estafa conocida como ‘Man in the Middle’ u ‘Hombre en el Medio’. Estafa que consiste en que el ciberdelincuente realiza un espionaje de los correos entre empresa y sus diferentes proveedores (Business Email Compromise) y haciéndose pasar por uno de estos proveedores consigue el cobro de una de sus facturas.
En el pasado mes de octubre de 2023, se presentó una denuncia en la Jefatura Superior de La Rioja que revelaba la manipulación de comunicaciones por email, en la que terceras personas desconocidas, haciéndose pasar por un despacho de abogados, lograron que otra de las víctimas efectuase dos transferencias por importes de 155.000 y 75.000 euros a una cuenta bancaria controlada por los estafadores.
La empresa comenzó a tener sospechas, porque el importe que debían reintegrar siempre lo realizaban a una misma cuenta bancaria, pero en este caso la empresa le comunicó un cambio de número de cuenta de última hora, por lo que la empresa empezó a tener sospechas de este cambio tan repentino. Un cambio poco habitual, pues los números para el ingreso de ciertas cantidades de dinero no suelen cambiar tan rápido y siempre suele haber una información previa.
Siguiendo la investigación, se solicitó a través de mandamientos judiciales un bloqueo inmediato y embargo preventivo de los saldos en la cuenta mencionada, el cual fue autorizado por el Juzgado competente. A raíz de este mandato, el banco ha confirmado que, debido a la intervención judicial, el saldo de la cuenta ha sido bloqueado eficientemente, no llegando los autores a beneficiarse del importe estafado.
Es relevante destacar que, afortunadamente, la víctima, tras percatarse del engaño, activó los mecanismos bancarios necesarios para revertir las dos transferencias fraudulentas. Gracias a esta, los afectados ha sufrido finalmente ningún perjuicio económico.
Este caso demuestra la importancia y efectividad de la cooperación entre las entidades bancarias, aseguradoras y las autoridades judiciales y policiales, en la lucha contra el ciberdelito y las estafas electrónicas.
Identificado el autor del intento de estafa
El autor de la presunta estafa, se trata de un hombre, de nacionalidad española y con residencia en la ciudad de Sevilla. Este hombre ha sido identificado en la ciudad de Sevilla.
Técnica del BEC (Business E-mail Compromise)
El Business E-mail Compromise es una técnica basada en un ataque informático en cual los autores, tras un secuestro previo de las cuentas de correo corporativas, interceptan las comunicaciones mantenidas y suplantan la identidad de alguna de las partes, con el fin de engañar a la víctima para que realice una transferencia bancaria a una cuenta controlada por los estafadores. Es un tipo específico de ataque de ‘phishing’ (robo o pesca de contraseñas) que se vale de la ingeniería social y de la vulnerabilidad humana para obtener acceso a datos e información sensible.
Se produce a través de un correo electrónico fraudulento en el que el atacante ha cambiado la dirección del remitente por una muy parecida, en ocasiones solo varía un carácter, y el asunto para conseguir que parezca una comunicación real.
Recomendaciones
Ante este tipo de estafas, la Policía alerta que es fácil suplantar correos electrónicos de empresas legítimas cambiando tan solo un carácter de un dominio de un correo, de forma que no levante sospechas. Por ello, aconseja a las empresas que realicen una serie de comprobaciones sencillas, previa al pago de importes de elevada cuantía:
- Marcar las direcciones de correo habituales de los empleados como conocidas en la agenda de contacto.
- Mantener un protocolo estricto de comprobación de pagos. Marcar como habituales determinadas cuentas bancarias de destino de los pagos y realizar las comprobaciones oportunas previas de la identidad del remitente ante la solicitud de nuevos cambios de cuenta o datos bancarios donde realizar los pagos.
- Hacer comprobaciones exhaustivas de emails recibidos que soliciten realizar transacciones bancarias o aportar documentación o información de carácter empresarial confidencial. Hay direcciones de correo que pueden variar en un solo carácter, por lo que hay que ser meticulosos.
- Sospechar de los cambios de cuenta corriente solicitados para realizar un pago de una factura pendiente. Comprobar nuevamente con el remitente que efectivamente se trata de un cambio legítimo o que la cuenta aportada es la inicial o habitual.
- Utilizar sistemas o programas de filtrado de correo electrónico configurado previamente por informáticos o detección de correos sospechoso mediante el uso de software actualizado antimalware y antispam, capaces de detectar emails fraudulentos.
- Si se realiza una transacción y poco después se percata de que pudiera ser fraudulenta, ponerse en contacto rápidamente con su entidad bancaria para su cancelación o bloqueo y denunciar lo antes posible.
- No hagas clic en enlaces o descargas desconocidas. Si un enlace o un archivo de descarga no parece legítimo, abstente de clicar en él. Si provienen de un hacker, pueden contener malware u otros virus que pueden infectar tu ordenador.
- No respondas a correos electrónicos o llamadas de remitentes no reconocidos. Si el nombre del remitente es ilegible, tampoco respondas. Esto puede ayudar a prevenir cualquier comunicación con un potencial estafador.
- No des información personal. Evita comunicar información personal y privada, como la tarjeta de crédito o el número de la seguridad social, a menos que estés seguro de que se trata de una fuente de confianza.
- No utilices la misma contraseña. Crea contraseñas fuertes para tus inicios de sesión que sean más difíciles de adivinar. Cámbialas con frecuencia por si un estafador se hace con una. Además, evita utilizar la misma contraseña para la mayoría de tus inicios de sesión.
Si crees que has sido víctima de una suplantación de identidad, puedes denunciarlo ante la Jefatura Superior de Policía de La Rioja, situada en Calle Serradero número 26. Y aunque a veces sea vergonzoso o incómodo contar lo sucedido, los funcionarios de la Oficina de Denuncias les proporcionarán asesoramiento ante cualquier delito.
