ESTAFAS POR EMAIL: ¿FRAUDE, ENGAÑO O BRECHA DE SEGURIDAD?

Si bien el uso del correo electrónico para cometer fraudes o engaños no es algo novedoso, sigue siendo un método muy utilizado y que reporta buenos beneficios a los defraudadores. Para los que, además, tiene un nivel de riesgo bastante bajo.

A pesar de su popularidad y de las medidas de seguridad que tanto las empresas como los proveedores de servicios de email han introducido en los sistemas, muchas personas siguen cayendo en el engaño. Dando credibilidad a las comunicaciones que reciben, simplemente porque identifican nombres o direcciones que les parecen conocidas, o porque el contenido de los mensajes tiene apariencia de veracidad.

El phishing, como se conoce en el argot técnico la táctica utilizada para engañar y suplantar identidades en las comunicaciones - principalmente por email, pero también por otros canales como: conversaciones de mensajería (WhatsApp o SMS), aplicaciones para móviles o incluso en llamadas telefónicas – sigue dando quebraderos de cabeza a usuarios y a empresas.

Desde el área de Forensic Tecnológico de BDO llevamos varios años prestando soporte a empresas, de muy diversos sectores, en la investigación de este tipo de casos. Desde el punto de vista de la investigación, que suele suceder a posteriori una vez identificado el hecho o las sospechas de su existencia, analizamos las pruebas electrónicas que dejan rastro de lo sucedido tratando de entender cómo se produjo el engaño, y determinar las acciones a realizar que ayuden a demostrar que el hecho no se produjo por una negligencia o falta de control interno.

Según hemos podido observar y aprender en nuestras investigaciones, en todos los casos hay un denominador común: estos engaños afectan a cualquier tipo de empresa, independientemente de su tamaño y sector de actividad.

En este artículo y en el evento que organizaremos el próximo 16 de febrero, queremos abordar uno de los casos más recurrentes y que causa un mayor impacto en los departamentos financieros de las empresas, como es el pago de facturas a cuentas bancarias que no se corresponden con las de los titulares reales. Aunque estos casos se ven desde dos perspectivas distintas, dependiendo de si se es emisor o receptor del pago, en ambas el resultado es el mismo: las dos partes sufren el perjuicio por igual. Independientemente del que papel juegue cada parte, el del cliente que realiza un pago que suele ser irrecuperable o el del proveedor que no lo recibirá por no ser el destinatario real del dinero, para los dos hay un claro perjuicio.

Además, algo importante y que tendrá que entender cada parte, es cuál es su grado de responsabilidad en lo sucedido. Y, normalmente, la responsabilidad en el engaño es compartida. Una particularidad de estos casos reside en que tanto la parte suplantada (normalmente porque haya podido tener un intruso en sus sistemas) como la parte que es engañada por el suplantador, son actores principales en el engaño compartiendo responsabilidades y perjuicios.

Por el lado del que sufre la suplantación – probablemente por una brecha de seguridad anterior que haya comprometido sus sistemas – su responsabilidad está en el envío de los mensajes “falsos” y con ánimo de engaño (aunque no hubiera sido hecho a propósito por sus usuarios). Y por el lado del que recibe los mensajes “falsos” y los da por buenos, sin hacer unas mínimas comprobaciones de la veracidad de los datos que se proporcionan (direcciones de correo, datos bancarios nuevos, explicaciones en el mensaje), su responsabilidad es la de haber seguido unas indicaciones distintas a las de una operativa normal y haber facilitado el engaño.

Obviamente, y dependiendo de cómo se hayan producido los hechos, una de las partes tendrá mayor responsabilidad. Sin embargo, ninguna podrá “lavarse las manos” descargando toda la responsabilidad sobre la otra.

Según nuestra experiencia y habiendo colaborado con empresas que se encontraban en uno o en otro lado, para una resolución efectiva del problema generado por este tipo de engaño, se debe plantear el trabajo desde tres enfoques complementarios: i) la investigación técnica de los hechos (el trabajo forense), ii) el análisis financiero de los perjuicios sufridos (cuantificación y recuperación de los importes) y iii) el estudio legal de los procedimientos judiciales que se puedan articular según sea la parte demandante o la demandada.

En cuanto a la parte que nos toca como expertos informáticos en la investigación técnica de las fuentes de información y los rastros dejados en los sistemas, lo primero que debe preocuparnos es identificar la existencia de una posible intrusión en los sistemas de alguna de las partes. Aquí es fundamental contar con acceso a los sistemas y sus registros o logs, algo que normalmente solo podemos hacer en los sistemas de la parte que nos solicita colaboración. Rara vez ocurre que estemos trabajando para las dos partes implicadas. Por lo tanto, esto supone una limitación a nuestro trabajo para obtener una conclusión realmente concluyente de en qué parte estaría la intrusión. Pudiendo descartar o apuntar únicamente a una de las partes, normalmente sobre la que estemos trabajando.

Un aspecto importante cuando analizamos mensajes de correo electrónico, y que suelen desconocer los usuarios no técnicos, es que los datos que muestra la aplicación de correo al abrir un mensaje, pueden no corresponderse con los datos reales de las direcciones de correo desde las que se envían o reciben los mensajes. Aunque todos los datos que muestra la aplicación de correo al abrir un mensaje los toma de lo que se denomina como cabecera del mensaje (conjunto de campos y valores estandarizados en el formato de un mensaje de correo electrónico), no quiere decir se correspondan con los valores “reales” del origen del mensaje. Es decir, en la cabecera del mensaje se pueden enmascarar determinados valores que no son mostrados por la aplicación que visualiza el mensaje, y que por tanto facilitan el engaño y la confusión en los usuarios.

Dicho esto, parece obvio que no debamos dar por buena la dirección de envío de un mensaje simplemente por el dato que muestra la aplicación. Sin embargo, es comprensible la frustración del usuario cuando conoce la facilidad con la que puede estar siendo víctima de un engaño y las pocas posibilidades que tiene para detectarlo a no ser que sea fácilmente perfectible a primera vista.

Al igual que nos hemos acostumbrado a revisar el contenido del cuerpo del mensaje y que nos puedan llamar la atención determinados cambios o giros idiomáticos, o el uso de una determinada firma o logo, respecto de lo que estamos acostumbrados a ver. Deberíamos también revisar con más atención las direcciones de correo y más cuando el contenido del mensaje nos pudiera hacer sospechar algo inusual.

En gran parte de las investigaciones que hemos realizado llama poderosamente la atención lo rápido que los usuarios dan por bueno determinadas indicaciones que les llegan en los mensajes (como el cambio de un nuevo número de cuenta bancaria), y que aceptan si mediar comprobación alguna. Muchos casos de fraude se podrían evitar con una simple respuesta al remitente pidiendo confirmación del cambio. Algo del estilo:

“Hola, me ha llegado este mensaje, ¿me podrías confirmar que efectivamente habéis cambiado de cuenta? Gracias” – Este simple gesto daría al traste con muchas de las ocasiones de intentos de suplantación o engaño. Y supongo que es algo que apreciaríamos si estuviésemos siendo víctimas de un engaño.

Pero poder tener claro el origen del engaño y como se ha perpetrado, no soluciona el problema. Para ello, va a ser necesario un trabajo financiero en el que poder rastrear el destino de los pagos, solicitando información al banco destino acerca de la titularidad real del dueño de la cuenta bancaria y las posibilidades de recuperación de los pagos. Además de indagar sobre las posibles compensaciones que pueda haber en caso de haber sufrido un engaño. En estos casos, contar con una póliza de seguros que incluya eventos de ciberseguridad puede, al menos, compensar la pérdida.

Igualmente, y no menos importante, habrá que explorar la vía legal para evaluar las acciones que habría que ejecutar en caso de abrir una causa judicial, bien como parte demandada o demandante. Al final, lo que subyace del problema, es que la parte que realizó el pago seguirá sin haber saldado su deuda, pero con el condicionante además de haber perdido el pago falso ya realizado, mientras que la parte acreedora seguirá reclamando la deuda aún pendiente de pago.

Estos tres enfoques (técnico informático, financiero y legal) son los que queremos abordar en nuestro próximo evento el próximo día 16 de febrero, de forma online en los canales de comunicación de BDO España.