Han desarticulado una organización criminal internacional que estafó más de cuatro millones de euros a empresas a través de Business Email Compromise. Se ha detenido a 64 personas – 28 en Palma, 3 en Ibiza, 4 en Madrid, 17 en Valencia, 5 en Segovia, 2 en Aranda del Duero, 1 en San Sebastián , 2 en Zaragoza y 2 en Tenerife. Todos ellos presuntamente responsables de los delitos de pertenencia a organización criminal, estafa, blanqueo de capitales y acceso informático.
Business Email Compromise
Cometían las estafas a través del modus operandi conocido como BEC –Business Email Compromise- cuyo objetivo eran los miembros de los departamentos de administración y los directores ejecutivos de empresas. Los ataques se producían desde Nigeria, país donde enviaban el dinero obtenido fraudulentamente.
La investigación, que fue llevada a cabo por agentes expertos en la lucha contra la ciberdelincuencia, ha descubierto en España una red extensa de mulas bancarias para la recepción de transferencias ilícitas a través de Business Email Compromise. La cúpula de la organización en nuestro país, compuesta por tres individuos, ya ha sido puesta a disposición de la Audiencia Nacional. Éstos mantenían los contactos directos con la matriz en Nigeria, desde donde se producían los ataques y a donde se enviaba el dinero obtenido fraudulentamente. Gracias a las gestiones realizadas por los agentes, se consiguió bloquear preventivamente más de 600.000 euros.
Estafas por técnicas de ingeniería social a los correos corporativos
La tipología delictiva utilizada por la red criminal se conoce como Business Email Compromise. Los ciberdelincuentes, tras acceder por técnicas de ingeniería social a los correos corporativos, se centraban en obtener información confidencial de las empresas, su cartera de clientes o transacciones económicas pendientes de abono.
Acto seguido, y mediante ataques por correo electrónico altamente personalizados, usurpaban la identidad corporativa de estas empresas ante sus clientes y entidades financieras con las que mantenían acuerdos comerciales, consiguiendo el pago de facturas y transacciones de grandes sumas de dinero a cuentas bancarias que la organización tenía bajo su control.
La investigación se inició a raíz de la denuncia de una empresa española, a la que habrían estafado más de 320.000 dólares por una transferencia no recibida correspondiente a los servicios prestados a una empresa de la República Democrática del Congo.
Efectivamente, esa transferencia sí fue realizada por la empresa congoleña, pero fue destinada a una la cuenta de un tercero sin relación con la actividad comercial. Tal engaño se materializó al acceder los ciberdelincuentes a los correos electrónicos intercambiados entre la empresa española y la congoleña, y sustituir la cuenta de abono real por la de una mula bancaria, donde finalmente se recibieron los fondos.
Cuidado con la estafa a través de Business Email Compromise
Los primeros resultados de la investigación permitieron descubrir que el titular de la cuenta receptora del dinero fraudulento era, a su vez, el responsable de otras cuentas en las que se recibían fondos de la misma naturaleza desde el extranjero. También se comprobó que esta persona había denunciado que estaba siendo extorsionada por la cúpula de la organización, quienes le exigían importantes sumas de dinero para poder abonar sus actividades como mula bancaria.
Las mulas bancarias recibían el dos por ciento de la transacción
Dos de los investigados recibían la información necesaria para iniciar los fraudes bancarios, solicitando a un segundo escalón la captación de mulas bancarias. Tras recibir el fruto del fraude en sus cuentas bancarias, se quedaban con un dos por ciento de las transferencias. El resto era transferido el dinero a terceros miembros de la organización para así dificultar aún más el bloqueo de las cuentas.
Durante la investigación se ha investigado a 79 personas que pusieron a disposición de los cibercriminales sus cuentas bancarias donde habían recibido más de cuatro millones de euros. Por ello se procedió a la detención de 64 personas a la que se le imputan delitos de pertenencia a organización criminal, estafa, blanqueo de capitales y acceso informático ilícito. También se intervinieron cuatro terminales móviles y se investigaron cerca de 200 cuentas bancarias.
No se dejen engañar por estafadores que les pidan transferir dinero a sus cuentas
Los delincuentes penetran en sistemas de correo electrónico o emplean tácticas de ingeniería social para obtener información sobre sistemas de pago corporativos y, posteriormente, engañan a empleados para que realicen transferencias a sus cuentas bancarias.
Protejan sus sistemas corporativos frente a tentativas de pirateo
- UTILICEN antivirus, cortafuegos y otras herramientas, y realicen análisis frecuentes de ordenadores y dispositivos para evitar las infecciones de códigos maliciosos.
- MANTENGAN actualizados sus ordenadores personales y empresariales: presten atención a las alertas de seguridad, actualicen los parches de seguridad, efectúen periódicamente verificaciones del sistema.
- ASEGÚRENSE de que sus cuentas de correo electrónico están bien protegidas y no comuniquen la contraseña.
- NO PINCHEN en archivos adjuntos que no estén esperando, incluso si tienen nombres que suenan inofensivos (por ejemplo, factura). A menudo contienen códigos maliciosos que dan acceso al control de sus correos electrónico y a las actividades de sus ordenadores.
- ACTIVEN el filtro de correo SPAM y bloqueen el acceso a sitios web sospechosos o que figuran en listas negras.
Cuidado con las solicitudes o cambios de pagos “urgentes” sospechosos
- MIREN atentamente la dirección de correo electrónico del emisor. Los delincuentes crean a menudo una cuenta con una dirección de correo electrónico muy similar a la de sus socios de trabajo, ¡así que mantengan los ojos bien abiertos!
- CORRAN la voz para que los colegas que trabajen con cuentas bancarias estén al tanto de la estafa.
- Si reciben un correo electrónico relativo a un cambio de método de pago o de cuenta bancaria, PÓNGANSE en contacto con el receptor del pago mediante otro conducto (teléfono) para confirmar esta demanda. NO contesten directamente al correo electrónico.
- VERIFIQUEN la autenticidad de los sitios web antes de facilitar cualquier información personal o confidencial.
Eviten convertirse en un objetivo
- NO PUBLIQUEN información confidencial o personal en medios sociales. Puede ser utilizada por los estafadores para actuar en su contra.
- TRITUREN todos los documentos confidenciales y elimínenlos adecuadamente.
- UTILICEN contraseñas distintas para cada cuenta, cámbienlas periódicamente y, en la medida de lo posible, activen la autenticación de dos factores en todas sus cuentas.
- UTILICEN contraseñas seguras que incluyan cifras, símbolos y letras mayúsculas y minúsculas.
He pagado ¿y ahora qué?
- Reúnan toda la documentación relativa a la transacción y los correos electrónicos y facturas recibidos y DENUNCIEN el suceso lo antes posible ante la policía local.
- ALERTEN inmediatamente a sus bancos de la transacción fraudulenta. El banco deberá tratar de reclamar los fondos inmediatamente.
- CONSIDEREN la posibilidad de consultar a un abogado especializado en derecho civil en el país en el que esté abierta la cuenta del beneficiario en la que se haya depositado el dinero. Esto puede ser útil a la hora de tratar con el banco para intentar recuperar el dinero y de entablar una demanda civil contra el titular de la cuenta.
