A menudo se siguen viendo los rostros de los responsables de ciberdelitos a escala mundial y, esta vez, ha sido España el lugar de algunas detenciones relacionadas a la comisión de estafas informáticas, especialmente la conocida como fraude al CEO o la estafa del CEO.
Se ha informado que funcionarios de la Guardia Civil han detenido a tres personas y que investiga a una cuarta por haber estafado a 12 empresas extranjeras, a través de fraudes informáticos. De acuerdo a un comunicado de prensa, la cantidad total estafada asciende a los 10 millones 700 mil euros.
Los autores de estos delitos, de quienes sólo se ha informado que tienen entre 34 y 67 años de edad, aparentemente son vecinos de Sevilla, Cuenca, Tarragona y Albacete. Ya han pasado a disposición judicial.
Las empresas víctimas de este tipo de ciberdelitos tienen sede en Bélgica, Venezuela, Bulgaria, Noruega, Estados Unidos, Alemania, Luxemburgo, Portugal, Chile y Reino Unido.
Según el informe policial, los atacantes suplantaban la identidad (phishing) de los directivos de estas empresas con el método utilizado (fraude al CEO, estafa BEC “Business Email Compromise”, estafa del CEO), haciéndose con el control de sus cuentas de correo electrónico.
“Posteriormente, solicitaban falsas transferencias a los bancos con los que estas empresas suelen trabajar. El dinero transferido acababa repartido en cuentas de la organización”.
Los ciberestafadores, para dar más credibilidad a las estafas informáticas, adjuntaban facturas proforma a los correos donde figuraba el membrete de las empresas que supuestamente las expedían.
Fraudes informáticos
Los autores de estos fraudes informáticos ahora se enfrentan a los delitos de pertenencia a organización criminal, estafa continuada, blanqueo de capitales, descubrimiento y revelación de secretos, falsedad documental y usurpación de estado civil, según lo informado desde la Guardia Civil.
Y es que la organización había creado un complejo entramado financiero de empresas y cuentas bancarias para blanquear el dinero. Es por esto que los investigadores han llegado a identificar un total de 83 sociedades y 185 cuentas bancarias relacionadas con esta estafa.
“Con el objetivo de no ser detectado, el curso del dinero estafado sufría un movimiento continuo entre estas cuentas”.
Se ha comunicado que la Guardia Civil ha podido recuperar un millón 290 mil euros, hasta el momento, repartidos en 16 cuentas de la banda que ya han sido bloqueadas. La organización que cometía estos ciberdelitos también blanqueaba los beneficios de manera directa a través de la compra de inmuebles.
La operación Lavanco, que ha servido para dar con el paradero de los primeros tres integrantes de la banda de ciberestafadores, se inició en 2016 en Sarria (Lugo).
“Dirigida desde la Comandancia de Lugo, ha contado con la colaboración de Europol e Interpol, así como la de varios cuerpos policiales extranjeros como el FBI o la BKA alemana”.
Ciberestafas en auge
Josep Albors, director de Investigación y Concienciación de ESET España, ha recordado que el fraude al CEO lleva ya algunos años en ejecución y que los ciberdelincuentes que realizan las estafas informáticas han ido mejorando sus técnicas.
Es por eso que pueden llegar a ser muy convincentes, lo que explicaría su éxito relativamente elevado que les lleva, incluso, a conseguir estafar millones de euros a una sola víctima.
En una entrada de blog ha comentado que los grupos de ciberestafadores ya no envían simplemente un email a alguno de los departamentos que conforman una empresa suplantando la identidad de algún cargo directivo.
“Ahora se recopila un perfil muy elaborado de la empresa objetivo y sus empleados, la relación que hay entre ellos, sus clientes y proveedores y las fechas en las que ciertos directivos se encontrarán fuera de la oficina”.
Además, ha dicho que en las últimas estafas informáticas no solo se utilizan facturas que podrían llegar a pasar por auténticas y pertenecientes a clientes y proveedores, sino que se llega a suplantar la identidad del directivo, incluyendo su voz.
Con esto, consiguen dar la orden a uno de los empleados para gestionar el dinero de la empresa y así realizar una serie de transferencias a las cuentas bancarias controladas por los ciberdelincuentes.
“A pesar de estas técnicas cada vez más elaboradas, no hemos de olvidar que el éxito de este fraude proviene principalmente del uso de la ingeniería social. En el caso de que se implementen medidas de verificación eficaces antes de realizar transferencias de cierto importe, el porcentaje de éxito de estos delitos disminuye considerablemente”.
A juicio de Albors, los importes de las estafas informáticas develadas en esta reciente operación policial en España han demostrado que este tipo de actividades criminales son muy lucrativas para los ciberdelincuentes.
Ante este panorama, considera fundamental que desde las empresas se incentive la aplicación de una serie de medidas para controlar los tiempos en que se realizarán ciertas transferencias.
También cree conveniente concienciar a los usuarios para que puedan detectar cuando puedan estar siendo víctimas de este fraude y detener la operación antes de que sea demasiado tarde.