Fraudes a la orden del día: Man in the middle
Hola amigos,
En nuestra anterior entrada hablábamos de un fraude consistente en intentar obtener, por medio de engaño o del uso de herramientas de malware, las contraseñas de correo electrónico del usuario de un equipo informático. En el caso de caer en la trampa, nos expone de un modo muy peligroso a amenazas económicas o de extorsión que pueden tener graves consecuencias. Hoy vamos a hablar de una de ellas, la denominada ‘Man in the middle‘ y que está lamentablemente muy de moda entre los ciberdelincuentes.
Podríamos catalogar este tipo de fraude económico como una estafa de guante blanco ya que suele ser algo que se ejecuta de forma sigilosa por parte de los delincuentes, usando por lo general la suplantación de documentos originales de un modo que suele pasar inadvertido a las partes implicadas.
¿En qué consiste?
El nombre de ‘Man in the middle‘ (hombre en medio) nos da una pista de por dónde van los tiros. El delincuente se infiltra en medio de las comunicaciones entre empresas, en lo que sería una conversación rutinaria para el cobro/pago/gestión de cualquier servicio profesional prestado. A partir de ahí tejen su tela de araña en la que se puede caer con mucha más facilidad de la que se puede pensar y conlleva consecuencias catastróficas si se trata de cuantías importantes. Además, para rematar el desastre, es un delito que encuentra muchas trabas para su persecución como explicaremos más adelante. Nuevamente la precaución es casi el único y principal arma que tenemos ante este delito.
La operativa
Una empresa emite una factura por servicios prestados en favor de otra. En ese momento comienza una conversación entre ambas para hacer llegar la factura y gestionar el cobro de la misma que, al tratarse de empresas, suele producirse por medio de una rutinaria transferencia bancaria a un número de cuenta (IBAN). Este número de cuenta bien se encuentra en la propia factura, bien en el texto del correo electrónico.
Los delincuentes, infiltrados en ese hilo de conversaciones para estar al tanto de todo lo que se habla, sustituyen el número de cuenta legítimo por un número de cuenta bajo su control y así acaban siendo los receptores del dinero. Mientras, la empresa que hace el pago lo hace convencida de estar haciéndolo a favor de la emisora de la factura.
Una vez realizada la transferencia a la cuenta de los delincuentes, el desastre es prácticamente irreversible. El sistema bancario y su opacidad, el método de hacer una transferencia sin poder verificar que el titular de la cuenta destino es quien nosotros pensamos y las mil y una trabas que unos y otros van a poner para facilitar retraer esa transferencia, harán que lo más probable es que el delito se consume. El límite suele estar en las 48 horas inmediatamente posteriores a la realización del pago.
Cuentas bancarias operadas en España, de entidades adheridas a la regulación y control del mercado bancario nacional y europeo no les libra de estar siendo colaboradoras necesarias de este fraude. Por norma general el titular de la cuenta destino será una persona conocida por la policía como ‘mula‘ que se lleva una pequeña comisión por abrir una cuenta y encargarse de, en cuanto llega una transferencia, ‘rebotarla‘ a entidades en el extranjero o incluso sacar el dinero en efectivo y entregarlo al responsable último de esta estafa.
Pero, ¿Cómo lo hacen?
La experiencia indica que todo parte de una comunicación ‘pinchada‘ entre empresas, en especial se fijan en las cuentas de administración, contabilidad y similares. Suele haber dos métodos principales para esa infiltración, suplantar las redes wifi de uno de los dos extremos para redirigir todo el tráfico de correos por la red de los delincuentes, o algo tan básico como hacerse con las contraseñas de correo de uno o ambos extremos por cualquier método de ‘phising‘ como ya vimos en el post anterior.
Si un ciberdelincuente se ha hecho con nuestra contraseña de correo es como si tuviera la llave de nuestro buzón, va a poder abrirlo sin que lo detectemos, va a poder manipular lo que encuentre en él y no nos enteraremos de lo que sucede ya que a todos los efectos somos nosotros mismos los que accedemos. Solo tiene que buscar el momento propicio para actuar, modificar una factura o un mail con su cuenta bancaria en lugar de la legítima y sentarse a esperar.
Nosotros haremos una transferencia a una cuenta que consideramos la legítima del emisor y solo cuando este nos reclame el pago pendiente nos daremos cuenta que algo ha pasado. Para entonces lo más fácil es que ya sea demasiado tarde.
¿Cómo prevenirlo?
Visto el método en que se suele dar, las principales precauciones que debemos de tomar son dos: evitar redes wifi que no sean la propia (y que esté protegida con contraseñas adecuadas), nunca públicas ni abiertas para comunicaciones profesionales; y como segunda, mantener las contraseñas del correo bien resguardadas e incluso cambiarlas periódicamente, más si pensamos que pueden haber sido vulneradas.
A esto habría que añadir que siempre que se vaya a hacer una transferencia a la recepción de una factura, es recomendable realizar una llamada telefónica al emisor para que nos certifique que la cuenta bancaria que tenemos en el correo es la correcta y legítima. Toda precaución es poca y especialmente en cuantías importantes que puedan exceder lo habitual. Y hablamos de confirmación telefónica de viva voz y no correo electrónico porque si realmente lo tenemos ‘pinchado’ se lo seguimos poniendo fácil a los malos.
Repercusiones
El gran problema es la lentitud del sistema y la falta de colaboración por parte de las entidades bancarias apelando a una protección de datos que a todas luces no se creó para que los delincuentes se beneficiaran y actuaran con casi total impunidad. La excusa suele ser que al final es una transferencia hecha a un IBAN por parte del emisor y que sea un error o no, ya es un problema que recae en quien realiza la transferencia.
Entramos ya a poder valorar si una entidad que recibe una transferencia puede y/o debe tener cierto control sobre el origen legal o no, el importe nada habitual o no y otros parámetros como la no coincidencia literal del hipotético destinatario con el verdadero titular de la cuenta. También si no podría habilitarse un mecanismo de doble verificación que impidiese que hacer una transferencia a un IBAN sea como lanzar una moneda a un pozo sin tener la certeza de quién está al otro lado de esa cuenta. En este aspecto parece que pronto pueda haber algo de jurisprudencia.
El caso es que a día de hoy hay muchos flecos sueltos que nos exponen a que en caso de caer en este fraude, acabemos por perder el dinero, el tiempo y los recursos que dediquemos a pelear por encontrar una solución que revierta el error.
Conclusión
Hoy por hoy en según qué delitos, resulta muy fácil delinquir y es incluso poco expuesto, mientras que ser víctima de ello es igual de fácil pero con consecuencias graves para una empresa pequeña o mediana. Una vez más recae en uno mismo la tarea de la prevención, la cautela y el buscar siempre minimizar al máximo los riesgos a la hora de operar económicamente en la red.
Hay que mantener siempre las contraseñas a buen recaudo como ya indicamos en el anterior post, hay que usar redes seguras (no usar públicas ni abiertas), hay que sospechar de cualquier mínimo indicio extraño que observemos y, como final, siempre es mejor verificar de primera mano antes de realizar transferencias o pagos de cualquier tipo y, a ser posible, de viva voz con el destinatario.
Un saludo,
No hay comentarios