“En estos tiempos los jóvenes piensan que el dinero lo es todo, algo que comprueban cuando se hacen mayores.” - Oscar Wilde

Estimado Jorge, disculpa pero la factura que te adjunto, no quiero que me la pagues a la cuenta habitual, pásamela a la cuenta de Proveedor de Repuestos SL en el Banco de Sabadell siguiente: ESXX-0081-XXXX-XXXX-XXXX-XXXX.

Así empezaba el correo de Xavier, de un proveedor llegado a la cuenta de correo de la empresa de Jorge (nombre supuesto). El correo era falso pero Jorge no realizó ninguna comprobación adicional y preparó el pago. Lo pasó a la Administradora, Mercedes, entre una pila de muchos más pagos de remesa. Antes de realizar el pago, habló con Mercedes, "por cierto, perdona, Xavier de Proveedor de Repuestos SL (nombres también supuestos), me ha pasado una nueva cuenta para realizar el pago de las facturas pendientes.

Dia 4 - Descubierto el engaño

El caso es que se hizo y, varios días después, Jorge llama preguntando cuándo se le van a pagar las facturas vencidas por 28.700€. Es el momento en que se descubre el engaño.

• "Perdona Xavier, pero me pasaste un correo con la factura y la nueva cuenta de la empresa en Banco de Sabadell".

• "Jorge, perdona, pero no trabajamos con Banco de Sabadell y además esa cuenta es de una oficina de Huelva, en donde nunca hemos trabajado ni, como te digo, tenemos cuenta".

• "Te paso el correo que lo veas"

Descubierta la falsedad, Jorge me llama y me dice que han sido víctimas de una estafa, que la transferencia se realizó hace tres días, que no se puede devolver y que qué hace.

Algunas consideraciones de Derecho (me estoy metiendo en un charco, lo sé)

No entro en opiniones ni en manifestaciones de qué se debe aplicar, sólo publico los datos:

Es importante saber quién ha sido víctima de la estafa y además quién no ha actuado con responsabilidad, porque el banco, tampoco verificó la titularidad del destinatario de la cuenta, es decir, si yo pago al proveedor X a una cuenta C, el banco debería verificar que efectivamente X es titular de C. Cabe decir que nos inundan con amenazas de bloqueo de cuenta para la identificación del titular cada doce meses. La ley le exime de ello (Real Decreto-ley 19/2018, de 23 de noviembre, de servicios de pago y otras medidas urgentes en materia financiera).

En el ámbito contractual, el debate jurídico se circunscribe en determinar si la intervención de un tercero que ha provocado dolosamente el pago a quien no es el acreedor, debe ser soportado por quien paga y sufre el engaño y, por tanto, si subsiste la obligación de pago, o si debe ser soportada por el acreedor o proveedor y, en consecuencia, el deudor queda liberado.

Doctrina del acreedor aparente: Persona que ha ejecutado el pago a un tercero que, no obstante, está en posesión del título en el que la deuda está consignada. Cuando se ha hecho el pago de buena fe, es liberatorio para el deudor.

Si miramos un poco la jurisprudencia: (Sentencia AP Madrid, Sección 10ª, nº 501/2019). Para que el pago al “acreedor aparente” sea liberatorio, el deudor tiene que probar, no solo que creía que estaba pagando al verdadero acreedor, sino que esta creencia existía aun habiendo empleado la diligencia exigible de acuerdo con las circunstancias del caso.

Problemas para el deudor: Mientras el acreedor solo debe probar la realidad y la cuantía de la deuda, el deudor tiene que probar, o bien una negligencia, o culpa del acreedor que haya sido determinante del fraude (por ejemplo, deficiente sistema de seguridad en el correo electrónico o en el acceso a sus servidores) o bien, su propia buena fe y creencia justificada de que el pago se realizaba a quien era el titular del crédito mediante datos objetivos y fiables y que no muestren atisbo alguno de negligencia por su parte.

Advertencia: los seguros no suelen cubrir esas incidencias, porque también debemos probarle a las aseguradoras la negligencia. En realidad estamos ante un callejón sin salida.

Dia 4 - Buenas decisiones

Como digo, mi cliente (en este caso el acreedor que no había cobrado), tiene mucho más fácil ante la Justicia reclamar el pago, porque puede justificar que ni recibió el pago, ni envió correo alguno. Debo reconocer que el defraudado (el cliente), actuó profesionalmente permitiendo que recomendáramos actuaciones para evitar problemas futuros:

Prueba pericial: Con el correo recibido, contratamos una compañía para que realizase una prueba pericial que determinara en qué punto se produjo la alteración del correo y qué buzón había sido violentado.

Concienciación y formación: La seguridad es cosa de todos. La educación y concienciación del personal son fundamentales. Todos los empleados, especialmente los ejecutivos y aquellos que tienen acceso a información sensible, deben recibir formación sobre los riesgos y las tácticas utilizadas en los ataques del CEO y MITM. Prevenirse para el próximo ataque es la garantía de que la próxima vez será más difícil.

Autenticación de múltiples factores (MFA): La autenticación de múltiples factores es una capa adicional de seguridad que puede dificultar los ataques de suplantación de identidad, aunque sea incómodo. Al implementar MFA, se requiere que los usuarios faciliten datos por múltiples medios: como una contraseña, un código de verificación enviado a su teléfono móvil o una huella digital.

Verificación de solicitudes inusuales: Un cambio de cuenta o un pago a una cuenta diferente es algo que debe verificarse externamente, sobre todo con clientes o proveedores habituales. Es importante establecer procedimientos rigurosos para verificar cualquier solicitud inusual, especialmente cuando se trata de transacciones financieras o cambios en la información sensible. Los empleados deben ser instruidos para confirmar personalmente cualquier solicitud de riesgo antes de ejecutarla.

Protección de la capa de transporte: Esto es más técnico, pero absolutamente vital. El cifrado de extremo a extremo es esencial para evitar los ataques MITM. Todas las comunicaciones sensibles, como correos electrónicos o transferencias de datos, deben estar encriptadas utilizando protocolos seguros como HTTPS, SFTP o VPN. Esto dificulta que los atacantes intercepten y manipulen la información durante la transmisión.

Actualizaciones y parches de seguridad: Es un clásico, pero me encuentro todos los días equipos con meses o años de parches sin instalar. Los atacantes a menudo aprovechan las vulnerabilidades conocidas en el software desactualizado para llevar a cabo ataques MITM.

Uso de redes seguras: Otro clásico. Evitar conectarse a redes Wi-Fi públicas, ya que son un objetivo común para los ataques MITM. Si te vas a otro pais, compra una tarjeta de datos y usa una VPN. El resto son cuentos que cuestan mucho tiempo y dinero. Una VPN crea un túnel cifrado que protege tus comunicaciones y dificulta la interceptación por parte de un atacante.

Seguimiento y monitoreo de actividades: Es por exceso, pero en una red de más de diez usuarios, debería ser exigible que se implementasen herramientas y sistemas de monitoreo de seguridad que registren y analicen las actividades de la red y los usuarios. Establece políticas de enrolamiento y de gestión de usuarios que requieran actualizar claves cada cierto tiempo y que utilicen MFA para acceder.

Dia 7 - El delincuente es detenido, el dinero recuperado y, tengo dos clientes satisfechos

La prueba pericial es vital para las futuras actuaciones, pero si se quiere recuperar el dinero y las entidades financieras donde se realizaron las operaciones están en España (origen y destino del dinero), es fácil encontrar al titular de la cuenta destino, aunque suelen utilizar hombres de paja. si se hace rápido, el dinero puede bloquearse, pero es muy importante hacer el trabajo a la Brigada de Delitos Tecnológicos de la Guardia Civil o Policía Nacional, porque están desbordados. Si se hace un buen trabajo, que solo requiera actuaciones por vía judicial, será rápido y eficaz.

Conclusiones

La aplicación de las medidas de seguridad mencionadas puede tener varias conclusiones positivas para la protección de una organización contra el fraude del CEO; se pueden lograr los siguientes resultados:

1. Reducción del riesgo: Al aumentar la conciencia y el entrenamiento de los empleados, se vuelve menos probable que caigan en trampas y sigan instrucciones fraudulentas. La autenticación de múltiples factores y el uso de encriptación de datos dificultan los intentos de interceptar y manipular información confidencial.

2. Protección de datos confidenciales: Esto ayuda a evitar que los atacantes accedan y utilicen datos valiosos de la organización.

3. Detección temprana: La detección temprana permite tomar medidas preventivas y mitigar posibles riesgos antes de que causen daño significativo.

4. Fortalecimiento de la cultura de seguridad: Se fomenta una cultura de seguridad sólida en la organización. Los empleados se vuelven más conscientes de las amenazas y están mejor preparados para identificar y reportar actividades sospechosas.

5. Cumplimiento normativo: Esto puede evitar sanciones y daños a la reputación de la organización.

En general, la aplicación de estas medidas de seguridad proporciona una capa adicional de protección, mejorando la seguridad global de la organización y reduciendo la probabilidad de éxito de los atacantes.

Es importante recordar que la ciberseguridad es un proceso continuo y dinámico, por lo que es necesario mantenerse actualizado y adaptar las medidas de seguridad a medida que evolucionan las amenazas.