La Policía Nacional advierte sobre el 'Fraude del CEO'
LOGROÑO, 7 Ago. - Agentes de la Jefatura Superior de La Rioja han descubierto una nueva modalidad de estafa conocida como 'Fraude del CEO' y fraudes BEC (Business Email Compromise).
Los agentes han notado un aumento en los casos en los que organismos oficiales están involucrados en este tipo de fraude, ya sea como víctimas o involuntariamente al ser suplantados. El mayor incremento se ha observado en los fraudes BEC, en los que se utiliza un cambio inesperado en la cuenta bancaria de pago a proveedores como cebo.
En el caso de las Administraciones Públicas, las organizaciones criminales pueden obtener información detallada sobre contratos establecidos por el Gobierno y los altos cargos responsables de su tramitación. Sin embargo, el uso generalizado del Punto General de Entrada de Facturas Electrónicas de la A.G.E. y el control sobre el pago a proveedores dificultan que esta Administración sea víctima de este tipo de fraudes.
Según los informes de la Policía Nacional, se ha observado un aumento en la suplantación de responsables públicos de contratos específicos. Los ciberdelincuentes desarrollan un engaño basado en datos precisos y detallados de contrataciones reales, enfocándose en las empresas proveedoras como víctimas, tanto en la modalidad de pagos fraudulentos a un organismo público suplantado, como en pagos fraudulentos entre contratista y subcontratista.
En los fraudes BEC, pequeñas empresas o personas físicas participan en una operación de compraventa o prestación de servicios. Los términos de la transacción se negocian mediante correos electrónicos y en algunos casos, también mediante aplicaciones de mensajería instantánea.
En este tipo de fraudes, los delincuentes obtienen acceso ilegítimo a una o ambas cuentas de correo y obtienen información sobre los pagos esperados, fechas, cantidades, personas implicadas, mercancía o servicios con los que se comercia y estilo de lenguaje utilizado.
Con esta información, los defraudadores registran una dirección de correo muy similar a la auténtica utilizada por las partes legítimas para suplantar la identidad de una de ellas, normalmente el vendedor o proveedor del servicio. Luego solicitan un pago en una cuenta bancaria controlada por la organización criminal, argumentando un cambio en la cuenta bancaria habitual donde se recibían los pagos legítimos previamente.
En un caso denunciado en La Rioja, los delincuentes utilizaron la información de una empresa para hacerse pasar por otra y solicitar el pago de una factura pendiente. La víctima realizó el pago en la cuenta bancaria proporcionada por los delincuentes, pero luego se dio cuenta de que había sido estafada.
El importe total estafado en este caso llegó a los 50.000 euros. Los estafadores investigaron el negocio y realizaron una llamada al teléfono de la empresa, aprovechando la ausencia del gerente. Engañaron a un empleado para que realizara una serie de pagos para supuestas facturas impagadas.
Los delincuentes presionaron al empleado, no permitiéndole tiempo para pensar o hacer comprobaciones y manteniéndolo ocupado en una llamada telefónica. Luego, un cómplice del autor llamó haciéndose pasar por el repartidor de la entrega para comprobar si se habían realizado los pagos.
Los fraudes al CEO tienen en común con los fraudes BEC la suplantación de la identidad de una persona con capacidad para ordenar pagos a otra parte involucrada en una transacción económica. En ambos casos, es necesario disponer de información sobre la víctima y su entorno para crear un relato convincente.
En el caso de los fraudes al CEO, la persona suplantada es un alto directivo de la empresa y la víctima es un empleado autorizado para realizar pagos. Se crea un entorno cerrado en el que sólo tiene cabida el defraudador y su interlocutor dentro de la empresa, insistiendo en la importancia de no compartir la información fuera de ese círculo exclusivo. Se insiste en mantener las comunicaciones restringidas al correo electrónico para evitar que el empleado identifique que la voz al otro lado del teléfono no es la del directivo real.