“Business Email Compromise”: Interceptación de facturas u órdenes de pago en correos electrónicos corporativos

En Despacho Jurídico Valero Cuadra ya hemos hablado sobre el fraude al CEO y las vulnerabilidades de ciberseguridad en empresas que pueden facilitar la victimización en este tipo de fraude, pero hoy queremos profundizar en uno de los métodos más utilizados para para las estafas informáticas de empresas, las técnicas BEC o Business Email Compromise. En esta estafa, los ciberatacantes interceptan o detectan correos electrónicos con datos financieros y, con objeto de conseguir transferencias fraudulentas, sustituyen la información bancaria.

Modus operandi: espionaje de correo electrónico y suplantación

La interceptación de facturas u órdenes de pago en correos electrónicos corporativos o BEC (Business Email Compromise) consiste en un ataque a correos electrónicos empresariales que afecta en mayor medidas a PYMES, al ser más vulnerables frente a ciberamenazas en comparación con las grandes mercantiles.

En el fraude BEC, el modus operandi más común consiste en que el ciberdelincuente consigue acceder a un correo corporativo sin “hackearlo”, es decir, no se utilizan softwares maliciosos para vulnerar las medidas de seguridad de los sistemas.

Entonces ¿cómo consigue el estafador acceder al correo electrónico? El ciberdelincuente, aprovechando debilidades de las contraseñas, ataque el servidor de webmail hasta que se descubra la clave de acceso y, con ello, pueda acceder a las cuentas de alguno de los correos corporativos.

Una vez dentro de la cuenta de correo, el ciberdelincuente se mantendrá a la espera de la recepción de un correo que sea atractivo para conseguir el fraude, como, por ejemplo, una factura o una orden de pago. En el momento en que el estafador tenga constancia de un correo con estas características, en que conste una factura o cualquier documento con un número de cuenta que deba ser beneficiaria de un pago, modificará el correo original en el propio servidor, en tránsito, o bien en cualquiera de las cuentas comprometidas, cambiando los datos de cuenta bancaria real por la fraudulenta.

Cuando la víctima recibe el correo “adulterado” piensa que los datos bancarios le han sido facilitados por un socio o un proveedor, en definitiva, un interlocutor válido, y, engañada, realiza el pago a una cuenta bancaria controlada por el estafador.

Prevención y Detección del BEC

Para reducir al máximo el riesgo de ser víctima de este tipo de ciberestafas, recomendamos mantener las cuentas de correo protegidas con contraseñas seguras, activar el filtro “antiespam” y comprobar el contenido literal del correo electrónico, leyendo detenidamente la estructura de la cabecera, dado que suelen cambiar pequeños detalles cuando se ha producido la modificación del correo en la cuenta de destino, como por ejemplo, la fecha de envío y recepción del email.

En este artículo INCIBE te explica cómo identificar la correos electrónicos ilegítimos. Te recomendamos mucho su lectura.

Las solicitudes de pagos inusuales o cambios urgentes de los datos bancarios deben hacernos sospechar y, ante la duda, lo más recomendable es contactar con el remitente del email por una vía distinta al correo electrónico y cerciorarse de que el correo es veraz.

En estos casos ¿es posible la reclamación de las cantidades defraudadas a nuestro banco?

Este tipo de ciberestafas tiene particularidades que, a diferencia del phishing y sus múltiples manifestaciones, hacen más compleja la reclamación civil de las cantidades defraudadas a los bancos.

Asimismo, la forma en que se produce el fraude, involucrando al emisor de una factura y al receptor, que la paga, puede plantear, asimismo, litigios entre estos con objeto de determinar si el pago efectuado en la cuenta fraudulenta puede tener efectos liberatorios. Es decir, si el verdadero acreedor tiene derecho reclamar el pago al deudor de las cuantías que se éste habría abonado en la cuenta bancaria del estafador.

Sin perjuicio de ello, a los efectos de acreditar la diligencia exigible frente al banco y con independencia de la solución extrajudicial que este vaya a ofrecer recomendamos reunir todas las pruebas del fraude (el correo electrónico, la documentación de la transacción y facturas recibidas),  denunciar los hechos lo antes posible y aportar la denuncia a la entidad financiera de la empresa informándola del pago y solicitando la retrocesión de la transferencia bancaria fraudulenta.

Si has sido víctima de BEC o tienes un crédito impagado por culpa de esta ciberestafa, nuestros abogados especializados en estafas informáticas estudiaran tu caso para valorar si es posible reclamar satisfactoriamente estos pagos fraudulentos. Contacta con nosotros.